Phenquestions
SSH-serveri turvameetmed ulatuvad algtasemest edasijõudnuteni ja nagu me varem ütlesime, saate need valida vastavalt vajalikule turvalisuse tasemele. Võite jätta kõik ettenähtud meetmed vahele, kui teil on piisavalt teadmisi tagajärgede kohta ja kui teil on nende vastu võitlemiseks heas seisukorras. Samuti ei saa me kunagi öelda, et üks samm tagab 100% turvalisuse või on teatud samm parem kui teine.
Kõik sõltub sellest, millist tüüpi turvalisust me tegelikult vajame. Seetõttu kavatseme täna anda teile sügava ülevaate põhi- ja edasijõudnutest SSH-serveri turvamiseks Ubuntu 20-s.04. Peale nende meetodite jagame teiega ka täiendavaid näpunäiteid teie SSH-serveri turvamiseks boonusena. Alustagem siis tänase huvitava aruteluga.
SSH-serveri turvamise meetod Ubuntu 20-s.04:
Kõik SSH-konfiguratsioonid salvestatakse selle faili / etc / ssh / sshd_config. Seda faili peetakse teie SSH-serveri normaalseks toimimiseks väga oluliseks. Seetõttu on enne selle faili muudatuste tegemist tungivalt soovitatav luua sellest failist varukoopia, käivitades terminalis järgmise käsu:
sudo cp / etc / ssh / sshd_config / etc / ssh / sshd_config.bak
Kui see käsk on edukalt täidetud, ei kuvata teile ühtegi väljundit, nagu on näidatud alloleval pildil:
Pärast selle faili varukoopia loomist on see samm valikuline ja sooritatakse, kui soovite kontrollida kõiki selles konfiguratsioonifailis lubatud funktsioone. Saate seda kontrollida, käivitades oma terminalis järgmise käsu:
SSH-konfiguratsioonifaili praegu lubatud valikud on näidatud alloleval pildil. Kõigi valikute kuvamiseks võite selles loendis kerida.
Nüüd saate alustada oma SSH-serveri turvamist, liikudes Ubuntu 20 põhisammudest edasijõudnutele.04.
Põhisammud SSH-serveri turvamiseks Ubuntu 20-s.04:
Põhisammud SSH-serveri turvamiseks Ubuntu 20-s.04 on järgmised:
1. samm: SSH-i konfiguratsioonifaili avamine:
SSH konfiguratsioonifaili saate avada, käivitades oma terminalis alltoodud käsu:
sudo nano / etc / ssh / sshd_config
SSH-i konfiguratsioonifail on näidatud järgmisel pildil:
2. samm: paroolipõhise autentimise keelamine:
Paroolide autentimiseks kasutamise asemel peetakse SSH-võtmeid turvalisemaks. Seega, kui olete autentimiseks loonud SSH-võtmed, peate paroolipõhise autentimise keelama. Selleks peate leidma muutuja „PasswordAuthentication”, kommenteerima selle ja määrama selle väärtuseks „ei”, nagu on näidatud alloleval pildil:
3. samm: tühjade paroolide tagasilükkamine / keelamine:
Mõnikord on kasutajatel äärmiselt mugav luua tühje paroole, et säästa end keerukate paroolide meeldejätmisest. See tava võib osutuda teie SSH-serveri turvalisust kahjustavaks. Seetõttu peate tühistama paroolidega kõik autentimiskatsed. Selleks peate leidma muutuja „PermitEmptyPasswords” ja selle lihtsalt kommenteerima, kuna selle väärtuseks on vaikimisi juba seatud „ei”, nagu on rõhutatud järgmisel pildil:
4. samm: juur sisselogimise keelamine:
Peaksite rangelt keelama juur-sisselogimised, et kaitsta sissetungijaid juuretaseme juurdepääsu saamise eest teie serverile. Selleks saate leida muutuja „PermitRootLogin”, märkida selle märkimata ja määrata selle väärtuseks „ei”, nagu on näidatud allpool toodud pildil:
Samm # 5: SSH-protokolli 2 kasutamine:
SSH-server saab töötada kahel erineval protokollil, s.t.e., 1. ja 2. protokoll. Protokoll 2 rakendab täpsemaid turvaelemente, mistõttu eelistatakse seda protokolli 1 asemel. Protokoll 1 on aga SSH-i vaikeprotokoll ja seda pole SSH-i konfiguratsioonifailis sõnaselgelt mainitud. Seega, kui soovite protokolli 1 asemel töötada protokolliga 2, peate oma SSH-i konfiguratsioonifaili selgesõnaliselt lisama rea "Protokoll 2", nagu on rõhutatud järgmisel pildil:
Samm # 6: seansi ajalõpu määramine:
Mõnikord jätavad kasutajad oma arvuti väga pikaks ajaks järelevalveta. Vahepeal võib iga sissetungija tulla üle ja pääseda juurde teie süsteemile, rikkudes samal ajal selle turvalisust. Siin tuleb mängu sessiooni ajalõpu mõiste. Seda funktsiooni kasutatakse kasutaja väljalogimiseks, kui ta jääb pikka aega passiivseks, nii et ükski teine kasutaja ei saaks juurdepääsu oma süsteemile.
Selle ajalõpu saab seadistada muutuja “ClientAliveInterval” leidmisega, kommenteerimise tühistamise ja mis tahes valitud väärtuse (sekundites) määramise. Meie puhul oleme määranud sellele väärtuse „300 sekundit“ või „5 minutit“. See tähendab, et kui kasutaja hoiab SSH-serverist eemal “300 sekundit”, logitakse ta automaatselt välja, nagu on näidatud alloleval pildil:
7. samm: kindlate kasutajate juurdepääs SSH-serverile:
SSH-server ei ole server, millele juurdepääsu vajavad kõik teised kasutajad. Seetõttu peab selle juurdepääs olema piiratud ainult nende kasutajatega, kes seda tegelikult vajavad. Konkreetsete kasutajate juurdepääsuks SSH-serverile peate lisama SSH-konfiguratsioonifaili muutuja nimega "AllowUsers" ja seejärel kirjutama kõigi nende kasutajate nimed, kellele soovite lubada juurdepääsu SSH-serverile tühikutega. Meie puhul tahtsime lubada SSH-serverile juurdepääsu ainult ühele kasutajale. Seetõttu lisasime tema nime ainult selliselt, nagu on rõhutatud järgmisel pildil:
8. samm: autentimiskatsete arvu piiramine:
Kui kasutaja proovib serverile juurde pääseda ja ta ei saa ennast esimest korda autentida, proovib ta seda uuesti teha. Kasutaja jätkab neid katseid seni, kuni ta suudab ennast edukalt autentida, saades seega juurdepääsu SSH-serverile. Seda peetakse äärmiselt ebaturvaliseks tavaks, kuna häkker võib käivitada Brute Force Attacki (rünnak, mis üritab korduvalt parooli ära arvata, kuni õige vaste leitakse). Tulemuseks on tal juurdepääs teie SSH-serverile.
Sellepärast on paroolide arvamise rünnakute vältimiseks tungivalt soovitatav piirata autentimiskatsete arvu. SSH-serveri autentimiskatsete vaikeväärtuseks on seatud 6. Siiski saate seda muuta sõltuvalt vajalikust turvalisuse tasemest. Selleks peate leidma muutujad "MaxAuthTries", kommenteerima ja määrama selle väärtuseks mis tahes soovitud numbri. Tahtsime piirata autentimiskatseid väärtusega 3, nagu on näidatud allpool näidatud pildil:
Samm # 9: SSH-serveri käitamine testrežiimis:
Nüüdseks oleme oma SSH-serveri kaitsmiseks Ubuntu 20-s teinud kõik põhilised sammud.04. Peame siiski veenduma, et just konfigureeritud valikud töötavad korralikult. Selleks salvestame ja sulgeme kõigepealt oma konfiguratsioonifaili. Pärast seda proovime oma SSH-serverit testrežiimis käivitada. Kui see töötab testrežiimis edukalt, tähendab see, et teie konfiguratsioonifailis pole vigu. SSH-serverit saate testrežiimis käivitada, käivitades oma terminalis järgmise käsu:
sudo sshd -t
Kui see käsk on edukalt täidetud, ei kuva see terminalis väljundit, nagu on näidatud alloleval pildil. Kui teie konfiguratsioonifailis on vigu, renderdatakse selle käsu käivitamisel need vead terminalis. Seejärel peaksite need vead parandama. Alles seejärel saate jätkata.
Samm # 10: SSH-serveri uuesti laadimine uute konfiguratsioonidega:
Kui SSH-server testrežiimis edukalt töötas, peame selle uuesti laadima, et see saaks lugeda uut konfiguratsioonifaili, st.e., SSH-i konfiguratsioonifaili ülaltoodud sammudega tehtud muudatused. Uute konfiguratsioonidega SSH-serveri uuesti laadimiseks peate oma terminalis käivitama järgmise käsu:
sudo teenuse sshd uuesti laadimine
Kui teie SSH-server taaskäivitatakse, ei kuva terminal väljundit, nagu on näidatud alloleval pildil:
Täpsemad sammud SSH-serveri turvamiseks Ubuntu 20-s.04:
Pärast kõigi põhiliste toimingute sooritamist SSH-serveri turvamiseks Ubuntu 20-s.04, saate lõpuks minna edasijõudnutele. See on vaid samm edasi SSH-serveri turvamiseks. Kui kavatsete siiski saavutada vaid mõõduka turvalisuse taseme, piisab ülalkirjeldatud sammudest. Kuid kui soovite minna natuke kaugemale, võite järgida allpool selgitatud samme:
1. samm: ~ / avamine.ssh / autoriseeritud_klahvide fail:
SSH-serveri turvamise põhisammud viiakse läbi SSH-i konfiguratsioonifailis. See tähendab, et need eeskirjad sobivad kõigile kasutajatele, kes proovivad SSH-serverile juurde pääseda. See tähendab ka seda, et põhisammud kujutavad endast SSH-serveri turvamise üldist meetodit. Kuid kui proovime kaaluda põhimõtet "kaitse sügavuses", mõistame, et peame iga SSH-võtme eraldi turvama. Seda saab teha, määrates iga võtme jaoks selged turbeparameetrid. SSH-võtmed on salvestatud ~ /.ssh / authorised_keys-fail, seega pääseme kõigepealt sellele failile juurde turvaparameetrite muutmiseks. Käivitame terminalis järgmise käsu, et pääseda juurde.fail ssh / Authorized_keys:
sudo nano ~ /.ssh / volitatud_klahvidSelle käsu käivitamine avab määratud faili nano-redaktoriga. Selle faili avamiseks võite siiski kasutada ka mõnda muud valitud tekstiredaktorit. See fail sisaldab kõiki seni loodud SSH-võtmeid.
2. samm: konkreetsete võtmete konkreetsete konfiguratsioonide määratlemine:
Kõrgema turvalisuse taseme saavutamiseks on saadaval viis järgmist võimalust:
- agentideta edastamine
- sadamat ei edasta
- no-pty
- no-user-rc
- no-X11-edastamine
Neid suvandeid saab kirjutada enne teie valitud SSH-võtmeid, et need oleksid selle konkreetse võtme jaoks kättesaadavad. Ühe SSH-võtme jaoks saab konfigureerida isegi rohkem kui ühte valikut. Näiteks soovite keelata pordi edastamise mis tahes konkreetse võtme jaoks või teisisõnu soovite rakendada konkreetse võtme jaoks ilma pordi edastamist, siis on süntaks järgmine:
sadamata edastamine DesiredSSHKeySiin on DesiredSSHKey asemel tegelik SSH-võti teie ~ /.fail ssh / Authorized_keys. Pärast nende suvandite rakendamist soovitud SSH-võtmete jaoks peate salvestama ~ /.ssh / autoriseeritud_klahvid ja sulgege see. Selle täiustatud meetodi kohta on hea, et pärast nende muudatuste tegemist ei pea te oma SSH-serverit uuesti laadima. Pigem loeb teie SSH-server neid muudatusi automaatselt.
Nii saate täiustatud turvamehhanisme rakendades iga SSH-võtme põhjalikult turvata.
Mõned täiendavad näpunäited SSH-serveri turvamiseks Ubuntu 20-s.04:
Lisaks kõigile ülaltoodud põhi- ja edasijõudnutele on ka mõned täiendavad näpunäited, mis võivad osutuda Ubuntu 20 SSH-serveri turvamiseks väga heaks.04. Neid täiendavaid näpunäiteid on arutatud allpool:
Andmete krüptimine
Teie SSH-serveris olevad andmed, samuti need, mis jäävad transiidiks, peavad olema krüptitud ja ka tugeva krüpteerimisalgoritmiga. See mitte ainult ei kaitse teie andmete terviklikkust ja konfidentsiaalsust, vaid hoiab ära ka kogu teie SSH-serveri turvalisuse kahjustamise.
Hoidke oma tarkvara ajakohasena:
Teie SSH-serveris töötav tarkvara peab olema ajakohane. Seda tehakse tagamaks, et ükski teie tarkvara turvaviga ei jääks järelevalveta. Pigem tuleks neid aegsasti hästi lappida. See säästab teid pikas perspektiivis võimalike kahjude eest ja hoiab ära ka teie serveri allakäigu või turvaprobleemide tõttu kättesaamatuse.
Veenduge, et SELinux on lubatud:
SELinux on mehhanism, mis paneb aluspõhja Linuxi põhiste süsteemide turvalisusele. See töötab rakendades kohustuslikku juurdepääsu kontrolli (MAC). Ta rakendab seda juurdepääsu kontrollimudelit, määratledes oma turvapoliitikas juurdepääsu reeglid. See mehhanism on vaikimisi lubatud. Kuid kasutajatel on lubatud seda seadet igal ajal muuta. See tähendab, et nad saavad SELinuksi keelata millal iganes soovivad. Siiski on tungivalt soovitatav hoida SELinux alati lubatud, et see saaks teie SSH-serverit takistada kõigist võimalikest kahjudest.
Kasutage rangeid paroolireegleid:
Kui olete oma SSH-serveri paroolidega kaitsnud, peate looma tugevad paroolieeskirjad. Ideaalis peaksid paroolid olema pikemad kui 8 tähemärki. Neid tuleks muuta kindlaksmääratud aja möödudes, näiteks iga 2 kuu tagant. Need ei tohiks sisaldada sõnastikusõnu; pigem peaksid need olema tähestike, numbrite ja erimärkide kombinatsioonid. Samamoodi saate oma paroolipoliitikate jaoks määratleda mõned muud eriti ranged meetmed, et need oleksid piisavalt tugevad.
SSH-serveri auditilogide jälgimine ja hooldamine:
Kui teie SSH-serveriga läheb midagi valesti, võivad teie esimeseks abistajaks olla auditilogid. Seetõttu peate neid logisid pidevalt haldama, et saaksite jälgida probleemi algpõhjust. Veelgi enam, kui jälgite pidevalt oma SSH-serveri seisundit ja tööd, hoiab see ära ka suuremate probleemide esilekerkimise.
Regulaarsete andmete varundamine:
Viimaseks, kuid mitte vähem tähtsaks, peate alati hoidma kogu SSH-serveri varukoopia. See ei päästa mitte ainult teie andmeid rikutud või täielikult kadunud; pigem võite seda varuserverit kasutada ka alati, kui teie põhiserver läheb alla. See piirab ka serveri seisakuid ja tagab selle kättesaadavuse.
Järeldus:
Kõigi käesolevas artiklis ettenähtud meetmete eest hoolitsedes saate oma SSH-serveri hõlpsasti turvata või kõvaks muuta Ubuntu 20-s.04. Kui olete aga infoturbe taustaga, peate sellest tõsiasjast hästi teadma, et pole midagi sellist nagu 100% turvalisus. Kõik, mida saame, on parim pingutuslubadus ja see on parim ainult seni, kuni see ka ületatakse. Seetõttu ei saa isegi pärast kõigi nende meetmete võtmist öelda, et teie SSH-server on 100% turvaline; pigem võivad sellel ikkagi olla sellised haavatavused, mida te poleks osanud isegi mõelda. Selliste haavatavuste eest saab hoolitseda ainult siis, kui hoiame oma SSH-serveril teravalt silma peal ja värskendame seda alati, kui see on vajalik.
