Phenquestions
Různé způsoby zabezpečení serveru SSH
Všechna nastavení konfigurace SSH server lze provést úpravou ssh_config soubor. Tento konfigurační soubor lze číst zadáním následujícího příkazu v Terminálu.
[chráněno e-mailem]: ~ $ cat / etc / ssh / ssh_configPOZNÁMKA: Před úpravou tohoto souboru musíte mít oprávnění root.
Nyní diskutujeme různé způsoby zabezpečení SSH serveru. Následuje několik metod, které můžeme použít při výrobě SSH server bezpečnější
- Změnou výchozího nastavení SSH Přístav
- Používání silného hesla
- Pomocí veřejného klíče
- Povolení jediné IP pro přihlášení
- Zakázání prázdného hesla
- Používání protokolu 2 pro SSH Server
- Zakázáním přeposílání X11
- Nastavení časového limitu nečinnosti
- Nastavení pokusů s omezeným heslem
Nyní diskutujeme všechny tyto metody jeden po druhém.
Změnou výchozího portu SSH
Jak bylo popsáno dříve, ve výchozím nastavení SSH používá pro komunikaci Port 22. Pro hackery je mnohem snazší hackovat vaše data, pokud vědí, který port se používá pro komunikaci. Svůj server můžete zabezpečit změnou výchozího nastavení SSH přístav. Chcete-li změnit SSH port, otevřít sshd_config soubor pomocí nano editoru spuštěním následujícího příkazu v Terminálu.
[chráněno e-mailem]: ~ $ nano / etc / ssh / ssh_configNajděte řádek, ve kterém je číslo portu uvedeno v tomto souboru, a odeberte # podepsat dříve „Port 22“ a změňte číslo portu na požadovaný port a uložte soubor.
Používání silného hesla
Většina serverů je napadena kvůli slabému heslu. Slabé heslo hackeři pravděpodobně napadnou snadno. Silné heslo může zvýšit zabezpečení vašeho serveru. Níže jsou uvedeny tipy pro silné heslo
- Použijte kombinaci velkých a malých písmen
- Ve svém hesle použijte čísla
- Použijte dlouhé heslo
- V hesle používejte speciální znaky
- Jako heslo nikdy nepoužívejte své jméno ani datum narození
Použití veřejného klíče k zabezpečení serveru SSH
Můžeme se přihlásit k našemu SSH server dvěma způsoby. Jeden používá heslo a druhý používá veřejný klíč. Použití veřejného klíče k přihlášení je mnohem bezpečnější než použití hesla k přihlášení SSH serveru.
Klíč lze vygenerovat spuštěním následujícího příkazu v Terminálu
[chráněno e-mailem]: ~ $ ssh-keygenKdyž spustíte výše uvedený příkaz, vyzve vás k zadání cesty pro váš soukromý a veřejný klíč. Soukromý klíč bude uložen uživatelem „Id_rsa“ jméno a veřejný klíč budou uloženy do „Id_rsa.hospoda" název. Ve výchozím nastavení se klíč uloží do následujícího adresáře
/ home / username /.ssh /
Po vytvoření veřejného klíče použijte tento klíč ke konfiguraci SSH přihlaste se pomocí klíče. Poté, co se ujistíte, že klíč funguje pro přihlášení do vašeho SSH server, nyní zakažte přihlášení založené na heslech. Toho lze dosáhnout úpravou našeho ssh_config soubor. Otevřete soubor v požadovaném editoru. Nyní odstraňte # před „PasswordAuthentication ano“ a nahraďte jej
HesloAuthentication no
Nyní vaše SSH na server lze přistupovat pouze pomocí veřejného klíče a přístup přes heslo byl deaktivován
Povolení přihlášení jedné IP adresy
Ve výchozím nastavení můžete SSH na váš server z jakékoli IP adresy. Zabezpečením serveru lze zajistit přístup jediné IP adresy na váš server. Toho lze dosáhnout přidáním následujícího řádku do složky ssh_config soubor.
ListenAddress 192.168.0.0Tím zablokujete všechny adresy IP, abyste se mohli přihlásit SSH jiný server než Zadaná IP (i.E. 192.168.0.0).
POZNÁMKA: Místo „192.168.0.0 ”.
Zakázání prázdného hesla
Nikdy nepovolovat přihlášení SSH Server s prázdným heslem. Pokud je povoleno prázdné heslo, je pravděpodobnější, že na váš server zaútočí útočníci hrubou silou. Chcete-li deaktivovat prázdné heslo, otevřete ssh_config soubor a proveďte následující změny
PermitEmptyPasswords č
Používání protokolu 2 pro server SSH
Předchozí protokol použitý pro SSH je SSH 1. Ve výchozím nastavení je protokol nastaven na SSH 2, ale pokud není nastaven na SSH 2, musíte jej změnit na SSH 2. Protokol SSH 1 má některé problémy související se zabezpečením a tyto problémy byly opraveny v protokolu SSH 2. Chcete-li to změnit, upravte ssh_config soubor, jak je uvedeno níže
Protokol 2
Zakázáním přeposílání X11
Funkce X11 Forwarding poskytuje grafické uživatelské rozhraní (GUI) vašeho SSH vzdáleného uživatele. Pokud není X11 Forwarding deaktivováno, pak jakýkoli hacker, který hacknul vaši relaci SSH, může snadno najít všechna data na vašem serveru. Tomu se můžete vyhnout deaktivací X11 Forwarding. Toho lze dosáhnout změnou ssh_config soubor, jak je uvedeno níže
X11 Přesměrování č
Nastavení časového limitu nečinnosti
Časový limit nečinnosti znamená, pokud ve svém účtu neprovádíte žádnou činnost SSH serveru na určitý časový interval, budete ze svého serveru automaticky odhlášeni
Můžeme posílit bezpečnostní opatření pro naše SSH server nastavením časového limitu nečinnosti. Například ty SSH serveru a po nějaké době se zaneprázdníte některými dalšími úkoly a zapomenete se odhlásit ze své relace. Toto je velmi vysoké bezpečnostní riziko pro váš SSH serveru. Tento problém se zabezpečením lze překonat nastavením časového limitu nečinnosti. Časový limit nečinnosti lze nastavit změnou našeho ssh_config soubor, jak je uvedeno níže
ClientAliveInterval 600Nastavením časového limitu nečinnosti na 600 bude připojení SSH zrušeno po 600 sekundách (10 minutách) nečinnosti.
Nastavení pokusů s omezeným heslem
Můžeme také vyrobit naše SSH zabezpečený server nastavením konkrétního počtu pokusů o heslo. To je užitečné proti útočníkům hrubou silou. Můžeme nastavit limit pro pokusy o heslo změnou ssh_config soubor.
MaxAuthTries 3
Restartování služby SSH
Mnoho z výše uvedených metod je třeba restartovat SSH po jejich použití. Můžeme restartovat SSH službu zadáním následujícího příkazu do terminálu
[chráněno e-mailem]: ~ $ service ssh restartZávěr
Po uplatnění výše uvedených změn ve vašem SSH server, nyní je váš server mnohem bezpečnější než dříve a pro útočníka hrubou silou není snadné hacknout váš server SSH serveru.
