Phenquestions
SSH-serveri turvamise erinevad viisid
Kõik konfiguratsiooni seaded SSH serveri saab teha muutmisega ssh_config faili. Seda konfiguratsioonifaili saab lugeda, tippides terminali järgmise käsu.
[meiliga kaitstud]: ~ $ cat / etc / ssh / ssh_configMÄRKUS. Enne selle faili redigeerimist peavad teil olema juurõigused.
Nüüd arutame turvamise erinevaid võimalusi SSH server. Järgnevalt on toodud mõned meetodid, mida saame oma tegemisel rakendada SSH server turvalisem
- Vaikimisi muutes SSH Sadam
- Tugeva parooli kasutamine
- Avaliku võtme kasutamine
- Ühe IP sisselogimise lubamine
- Tühja parooli keelamine
- Protokolli 2 kasutamine SSH Server
- Keelates X11 edastamise
- Tühikäigu ajalõpu määramine
- Piiratud parooli proovimine
Nüüd arutame kõiki neid meetodeid ükshaaval.
SSH vaikepordi muutmisega
Nagu varem kirjeldatud, vaikimisi SSH kasutab suhtlemiseks porti 22. Häkkeritel on teie andmeid palju lihtsam häkkida, kui nad teavad, millist porti suhtlemiseks kasutatakse. Saate oma serveri turvata vaikimisi muutmisega SSH sadam. Muutmiseks SSH sadam, avatud sshd_config faili nano-redaktori abil, käivitades terminalis järgmise käsu.
[meiliga kaitstud]: ~ $ nano / etc / ssh / ssh_configLeidke rida, milles pordi numbrit selles failis mainitakse, ja eemaldage # enne kirjutama "Sadam 22" ja muutke pordi number soovitud pordiks ning salvestage fail.
Tugeva parooli kasutamine
Enamikku serveritest häkitakse nõrga parooli tõttu. Nõrk parool on häkkeritel tõenäolisem, et nad hakkavad seda hõlpsasti häkkima. Tugev parool võib teie serveri turvalisemaks muuta. Järgmised näpunäited tugeva parooli saamiseks
- Kasutage suurtähtede ja väiketähtede kombinatsiooni
- Kasutage oma paroolis numbreid
- Kasutage pikka parooli
- Kasutage oma paroolis erimärke
- Ärge kunagi kasutage paroolina oma nime ega sünnikuupäeva
SSH-serveri turvamiseks avaliku võtme kasutamine
Saame sisse logida oma SSH serverisse kahel viisil. Üks kasutab parooli ja teine avalikku võtit. Avaliku võtme kasutamine sisselogimiseks on palju turvalisem kui sisselogimiseks parooli kasutamine SSH server.
Võtme saab genereerida, käivitades terminalis järgmise käsu
[meiliga kaitstud]: ~ $ ssh-keygenKui käivitate ülaltoodud käsu, palub see teil sisestada oma privaatsete ja avalike võtmete tee. Privaatvõtme salvestab „Id_rsa” nime ja avaliku võtme salvestab „Id_rsa.pubi ” nimi. Vaikimisi salvestatakse võti järgmisse kataloogi
/ home / kasutajanimi /.ssh /
Pärast avaliku võtme loomist kasutage seadistamiseks seda võtit SSH sisselogimine võtmega. Pärast seda, kui olete veendunud, et võti töötab teie sisselogimiseks SSH server, keelake nüüd paroolipõhine sisselogimine. Seda saab teha meie redigeerimisega ssh_config faili. Avage fail soovitud redaktoris. Nüüd eemaldage # enne „PasswordAuthentification yes” ja asendage see nimega
Parooli autentimise nr
Nüüd teie SSH serverile pääseb juurde ainult avaliku võtmega ja parooli kaudu juurdepääs on keelatud
Ühe IP sisselogimise lubamine
Vaikimisi saate SSH serverisse mis tahes IP-aadressilt. Serveri saab muuta turvalisemaks, kui lubate oma serverile juurdepääsu ühele IP-le. Seda saab teha, lisades oma rida järgmise rea ssh_config faili.
Kuula aadress 192.168.0.0See blokeerib kõik IP-d teie sisselogimiseks SSH muu server kui sisestatud IP (st.e. 192.168.0.0).
MÄRKUS. Sisestage oma seadme IP 192 asemel.168.0.0 ”.
Tühja parooli keelamine
Ärge lubage kunagi sisse logida SSH Tühja parooliga server. Kui lubatud on tühi parool, ründavad teie serverit suurema tõenäosusega jõhkrad ründajad. Tühja parooliga sisselogimise keelamiseks avage ssh_config fail ja tehke järgmised muudatused
PermitEmptyPasswords nr
Protokolli 2 kasutamine SSH-serveri jaoks
Eelmist protokolli on kasutatud SSH on SSH 1. Vaikimisi on protokolliks seatud SSH 2, kuid kui see pole SSH 2, peate selle muutma SSH 2-ks. SSH 1 protokollil on mõned turvalisusega seotud probleemid ja need probleemid on lahendatud SSH 2 protokollis. Selle muutmiseks muutke ssh_config fail, nagu allpool näidatud
2. protokoll
Keelates X11 edastamise
Funktsioon X11 edastamine annab teie graafilise kasutajaliidese (GUI) SSH serveri kaugkasutajale. Kui X11 edastamine pole keelatud, võib iga teie SSH-seansi häkkinud häkker hõlpsasti leida kõik teie serveris olevad andmed. Seda saate vältida, kui keelate X11 edastamise. Seda saab teha, muutes ssh_config fail, nagu allpool näidatud
X11 Edastamine nr
Tühikäigu ajalõpu määramine
Tühikäigu aegumine tähendab, et kui te oma tegevuses midagi ei tee SSH teatud ajavahemiku jooksul, logitakse teid automaatselt oma serverist välja
Saame oma turvameetmeid tõhustada SSH serverisse, seades tühikäigu. Näiteks sina SSH oma serverisse ja mõne aja pärast olete mõne muu ülesande täitmisega hõivatud ja unustate oma seansist välja logida. See on teie jaoks väga kõrge turvarisk SSH server. Sellest turvaküsimusest saab üle saada, kui seadistate tühikäigu. Tühikäigu ajalõpu saab seadistada muutes meie ssh_config fail, nagu allpool näidatud
ClientAliveInterval 600Kui seadistate tühikäiguajaks väärtus 600, katkestatakse SSH-ühendus 600 sekundi (10 minuti) möödudes, kui te pole mingit tegevust teinud.
Piiratud parooli proovimine
Saame ka oma teha SSH server turvaline, määrates kindla arvu paroolikatsetusi. See on abiks toore ründaja vastu. Paroolikatsetustele saame piirangu seada muutmisega ssh_config faili.
MaxAuthTries 3
SSH-teenuse taaskäivitamine
Paljud ülaltoodud meetodid peavad taaskäivituma SSH pärast nende rakendamist. Saame taaskäivitada SSH teenusesse, tippides terminali järgmise käsu
[meiliga kaitstud]: ~ $ service ssh taaskäivitatakseJäreldus
Pärast ülaltoodud muudatuste rakendamist oma SSH server, nüüd on teie server varasemaga võrreldes palju turvalisem ja toore jõu ründajal pole teie häkkimine lihtne SSH server.
