Phenquestions
Diferite moduri de securizare a serverului SSH
Toate setările de configurare ale SSH serverul se poate face modificând ssh_config fişier. Acest fișier de configurare poate fi citit tastând următoarea comandă în Terminal.
[e-mail protejat]: ~ $ cat / etc / ssh / ssh_configNOTĂ: Înainte de a edita acest fișier, trebuie să aveți privilegii de root.
Acum discutăm diferite modalități de securizare SSH Server. Următoarele sunt câteva metode pe care le putem aplica pentru a le crea SSH server mai sigur
- Prin schimbarea valorii implicite SSH Port
- Folosind parola puternică
- Folosind cheia publică
- Permițând conectarea unui singur IP
- Dezactivarea parolei goale
- Folosind Protocolul 2 pentru SSH Server
- Dezactivând redirecționarea X11
- Setarea unui Timp Inactiv
- Setarea unei încercări limitate de parolă
Acum discutăm toate aceste metode una câte una.
Prin modificarea portului SSH implicit
După cum sa descris mai devreme, în mod implicit SSH folosește Portul 22 pentru comunicare. Este mult mai ușor pentru hackeri să vă pirateze datele dacă știu ce port este utilizat pentru comunicare. Vă puteți securiza serverul schimbând valorile implicite SSH port. Pentru a schimba SSH port, deschis sshd_config fișier folosind nano editor executând următoarea comandă în Terminal.
[e-mail protejat]: ~ $ nano / etc / ssh / ssh_configGăsiți linia în care numărul portului este menționat în acest fișier și eliminați # semnează înainte „Portul 22” și schimbați numărul portului la portul dorit și salvați fișierul.
Folosind parola puternică
Majoritatea serverelor sunt piratate din cauza unei parole slabe. Este mai probabil ca o parolă slabă să fie piratată de hackeri cu ușurință. O parolă puternică vă poate face serverul mai sigur. Următoarele sunt sfaturile pentru o parolă puternică
- Utilizați o combinație de litere mari și mici
- Folosiți numere în parola dvs
- Folosiți o parolă lungă
- Folosiți caractere speciale în parola dvs
- Nu folosiți niciodată numele sau data nașterii ca parolă
Utilizarea cheii publice pentru securizarea serverului SSH
Ne putem autentifica la SSH server folosind două moduri. Unul folosește parola, iar celălalt folosește cheia publică. Utilizarea cheii publice pentru autentificare este mult mai sigură decât utilizarea unei parole pentru a vă conecta SSH Server.
O cheie poate fi generată executând următoarea comandă în Terminal
[e-mail protejat]: ~ $ ssh-keygenCând executați comanda de mai sus, vă va cere să introduceți calea pentru cheile dvs. private și publice. Cheia privată va fi salvată de „Id_rsa” numele și cheia publică vor fi salvate de „Id_rsa.pub ” Nume. În mod implicit, cheia va fi salvată în următorul director
/ acasă / nume de utilizator /.ssh /
După crearea cheii publice, utilizați această cheie pentru a configura SSH autentificați-vă cu cheia. După ce vă asigurați că cheia funcționează pentru a vă conecta la SSH server, dezactivați acum autentificarea bazată pe parolă. Acest lucru se poate face prin editarea noastră ssh_config fişier. Deschideți fișierul în editorul dorit. Acum scoateți fișierul # inainte de „Autentificare parolă da” și înlocuiți-l cu
Parola Autentificare nr
Acum SSH serverul poate fi accesat numai prin cheie publică, iar accesul prin parolă a fost dezactivat
Permițând conectarea unui singur IP
În mod implicit, puteți SSH în serverul dvs. de la orice adresă IP. Serverul poate fi făcut mai sigur, permițând unui singur IP să vă acceseze serverul. Acest lucru se poate face prin adăugarea următoarei linii în ssh_config fişier.
Ascultați adresa 192.168.0.0Acest lucru va bloca toate adresele IP pentru a vă conecta SSH alt server decât IP-ul introdus (i.e. 192.168.0.0).
NOTĂ: Introduceți adresa IP a mașinii dvs. în locul „192.168.0.0 ”.
Dezactivarea parolei goale
Nu permiteți niciodată conectarea SSH Server cu parolă goală. Dacă este permisă parola goală, serverul dvs. este mai probabil să fie atacat de atacatori cu forță brută. Pentru a dezactiva autentificarea parolei goale, deschideți ssh_config fișierul și efectuați următoarele modificări
PermitEmptyPasswords nr
Utilizarea Protocolului 2 pentru serverul SSH
Protocolul anterior utilizat pentru SSH este SSH 1. În mod implicit, protocolul este setat la SSH 2, dar dacă nu este setat la SSH 2, trebuie să îl schimbați în SSH 2. Protocolul SSH 1 are unele probleme legate de securitate, iar aceste probleme au fost rezolvate în protocolul SSH 2. Pentru a-l modifica, editați ssh_config după cum se arată mai jos
Protocolul 2
Dezactivând redirecționarea X11
Funcția de redirecționare X11 oferă o interfață grafică de utilizator (GUI) a dvs SSH server către utilizatorul la distanță. Dacă redirecționarea X11 nu este dezactivată, atunci orice hacker, care v-a piratat sesiunea SSH, poate găsi cu ușurință toate datele din serverul dvs. Puteți evita acest lucru dezactivând redirecționarea X11. Acest lucru se poate face prin schimbarea ssh_config după cum se arată mai jos
X11 Redirecționare nr
Setarea unui Timp Inactiv
Timpul inactiv înseamnă, dacă nu faceți nicio activitate în SSH server pentru un anumit interval de timp, sunteți deconectat automat de la server
Putem îmbunătăți măsurile de securitate pentru SSH server prin setarea unui timeout inactiv. De exemplu tu SSH serverul dvs. și după ceva timp vă ocupați cu alte sarcini și uitați să vă deconectați de la sesiune. Acesta este un risc de securitate foarte mare pentru dvs SSH Server. Această problemă de securitate poate fi depășită prin setarea unui timeout inactiv. Timpul de inactivitate poate fi setat prin schimbarea ssh_config după cum se arată mai jos
ClientAliveInterval 600Prin setarea timpului de inactivitate la 600, conexiunea SSH va fi întreruptă după 600 de secunde (10 minute), fără nicio activitate.
Setarea unei încercări limitate de parolă
Putem, de asemenea, să facem al nostru SSH server securizat prin setarea unui număr specific de încercări de parolă. Acest lucru este util împotriva atacatorilor de forță brută. Putem seta o limită pentru încercările de parolă prin schimbare ssh_config fişier.
MaxAuthTries 3
Repornirea serviciului SSH
Multe dintre metodele de mai sus trebuie să repornească SSH service după aplicarea acestora. Putem reporni SSH serviciului tastând următoarea comandă în terminal
[e-mail protejat]: repornirea ~ $ service sshConcluzie
După aplicarea modificărilor de mai sus la SSH server, acum serverul dvs. este mult mai sigur decât înainte și nu este ușor pentru un atacator cu forță brută să vă pirateze SSH Server.
