avancerede stille sikkerhed tips og tricks

, ssh - server konfiguration fil er beliggende i /etc /ssh /sshd_conf. du er nødt til at genstarte ssh - service efter hver ændring i den sag for ændringer får virkning.,, ændre ssh efter havn, uden at stille lytter til forbindelser på havnen..angriberne brug port scanner software for at se, om værter kører en ssh tjeneste.det er klogt at ændre ssh - havn - til - en række højere end 1024, fordi de fleste havne scannere (herunder nmap) af misligholdelse ikke scanne store havne,.,, åbne /etc /ssh /sshd_config sag og ser til den linje, som siger:, -, havne - 22, ændre den havn, antal og genstarte ssh - tjeneste:,, /etc /init.d/ssh igen, vil kun være protokol nr. 2, der er to versioner af ssh - protokol.ved hjælp af ssh protokol nr. 2 er meget mere sikker, shh protokol 1 er betinget af, at sikkerhedsspørgsmål, herunder mand i midten og indsætningsangreb.edit /etc /ssh /sshd_config og se om den linje, som siger:,, protokol 2,1, ændrer den linje, så det siger kun, protokol nr. 2,.,, tillade, at kun bestemte brugere til at logge ind via shh, du bør ikke tillade rod logins via ssh, fordi dette er en stor og unødvendige sikkerhedsrisiko.hvis en mand får root login til dit system, han kan gøre mere skade, end hvis han får normalt bruger adgangskode.få ssh - serveren, så grundlæggende bruger ikke har lov til at logge ind.find den linje, som siger:,, permitrootlogin ja, ændre, ja, nej, og genoptage tjenesten.kan du så log med andre defineret bruger og skifte til brugeren rod, hvis du ønsker at blive en superuser.,,, det er klogt at skabe en falsk lokale bruger, med absolut ingen rettigheder i systemet og anvendelse, der bruger adgangskode til ssh.sådan noget kan ske, hvis den pågældende brugerkonto er kompromitteret.ved at skabe denne bruger, sørg for, at det er rattet gruppe, så du kan skifte til superuser.,, hvis du vil have en liste over de brugere, der er de eneste, der er i stand til at logge ind via ssh, kan de angive dem i sshd_config fil.for eksempel, lad os sige, at jeg ønsker, at brugerne anze, dasa, og kimy til at logge ind via ssh.ved udgangen af sshd_config fil, jeg vil tilføje en linje, som denne:,, allowusers anze dasa kimy, skabe en skik ssh banner,, hvis du ønsker en bruger, der forbinder deres ssh tjeneste for at se et særligt budskab, du kan skabe en skik ssh banner.at skabe en tekstfil (i eksemplet i /etc /ssh banner. txt) og enhver form for besked på det. for eksempel:,, *****************************************************************, dette er en privat ssh tjeneste.du burde ikke være her. * *, vær venlig at gå.*, *****************************************************************, da gjort redigering, medmindre den fil.i sshd_conf fil, finde en linje, der siger:,,&#banner /etc /issue.net,, uncomment linjen og ændre vej til jeres skik ssh banner tekstfil., ved hjælp af dsa public key - autentificering, i stedet for at bruge login navne og passwords for ssh - autentificering, du kan bruge dsa offentlige nøgler til autentificering.bemærk, at du kan have både login navne og dsa public key - autentificering, mulighed for på samme tid.under en dsa offentlige nøgler, autentificering, gjorde det muligt for gør systemet skudsikker mod ordbog angreb, fordi du ikke har brug for et login navn og adgangskode til at logge ind i ssh tjeneste.de skal i stedet et par dsa nøgler - - en offentlig og privat.du holder den private nøgle på din maskine og kopiere den offentlige nøgle til serveren.når du ønsker at logge ind på en stille møde serveren kontrol nøglerne, og hvis de passer, er du faldet i skallen.hvis nøglerne passer ikke, du er frakoblet. i dette eksempel er den private maskine (som jeg vil forbinde til server) er station1 og serveren maskine er server1.på begge maskiner, har jeg de samme hjem mappe. det vil ikke fungere, hvis hjem er forskellige på klient og server mapper maskine.du er nødt til at skabe et sæt nøgler på deres private maskine med kommando, - - $ssh keygen - t dsa.du vil blive tilskyndet til give udtryk for deres private nøgle, men du kan forlade det blankt, fordi dette ikke er en anbefalet metode.en nøglepar frembringes: din private nøgle er beliggende i - /. ssh /id_dsa og deres offentlige nøgle er placeret i. ssh /id_dsa.pub.,, kopi af indholdet af - /. ssh /id_dsa.pub til server1 i - /. ssh /authorized_keys fil.indholdet af - /. ssh /id_dsa.pub dossier skal se sådan her:,, ~ $kat. ssh /id_dsa.pub være dss aaaab3nzac1kc3maaacbam7k7vkk5c90rsvohihdurovybngr7yeqtrdffcuvwmwcjydusng, aic0ozkbwlnmdu + y6zojnpottpnpex0kroh79max8nzbbd4auv91lbg7z604ztdrlzvsfhci /fm4yroh, ge0fo7fv4lgcuilqa55 + qp9vvco7qybdipdunv0laaaafqc /9iljqii7nm7akxibpdrqwknypqaaaiea, g + ojc8 + oyioexcw8qcb6ldibxjv0ut0rrutfvo1bn39cawz5pufe7eplmr6t7ljl7jdkfea5de0k3wds, 9 /rd1tj6ufqsrc2qpzbn0p0j89lpijdmmsisqqako4m2fo2vjcgcwvsghiod0amrc7ngie6btanihbbq, ri10rgl5gh4aaacajj1 /rv7iktoyuvyqv3baz3jhoaf + h /dudtx + wutujpl + tfdf61rbwoqraruhfrf0, tu /rx4oozzadlqovafqrdnu /no0zge + wvxdd4ol1ymulrkqp8vc20ws5mlvp34fst1amc0ynebp28eqi, 0xpefud0ixzztxthvlzia1 /nuzy = denne e - mail - adresse er at beskytteed fra spambots.du har brug for javascript mulighed for at se på det, hvis den fil - /. ssh /authorized_keys allerede eksisterer, vedlægges indholdet i fil - /. ssh /id_dsa.pub til fil - /. ssh /authorized_keys på server1.det eneste du skal gøre er at sætte den rette tilladelser af - /. ssh /authorized_keys fil på server1:,, ~ $chmod 600 - /. ssh /authorized_keys, nu, få det sshd_conf fil at bruge dsa nøgler godkendelse.sørg for at have følgende tre linjer uncommented:,, rsaauthentication ja, pubkeyauthentication ja, authorizedkeysfile% h /. ssh /authorized_keys, genoptage tjenesten.hvis du konfigureret alt korrekt, bør nu være i stand til at stille deres server og falder direkte ind i dit hjem mappe uden enhver interaktion,.,, hvis du ønsker at bruge dsa autentificering, sørg for at uncomment og ændre den, passwordauthentication, linje i sshd_config fra, ja, nej,,, passwordauthentication: nej, hvis nogen forsøger at forbinde deres ssh tjeneste og ikke har en offentlig nøgle på serveren, han vil blive forkastet, uden selv at se login omgående med denne fejl:,, tilladelse nægtet (publickey), ved hjælp af tcp indpakning, således at kun specifikke værter for at forbinde, denne fremgangsmåde er nyttigt, hvis du vil gerne lade kun specifikke vært på et netværk til at være i stand til at forbinde deres ssh tjeneste, men -du ønsker ikke at anvende eller ødelægge din iptables konfiguration.i stedet, du kan bruge tcp indpakning; i dette tilfælde sshd tcp indpakning.jeg vil lave en regel, at det kun er vært på mit lokale undernet 192.168.1.0/24 og fjerntliggende vært 193.180.177.13 at forbinde min ssh tjeneste.,, som standard tcp på papiret, for første gang i /etc /hosts.deny fil at se hvad værter nægtes for, hvilken service.næste, tcp papir ser /etc /hosts.allow fil at se, om der er nogen regler, som vil gøre det muligt for værter for tilslutning til en specifik tjeneste.jeg vil skabe en regel som den i /etc /værter. benægt:,, sshd: alle, betyder det, at ved misligholdelse alle værter er forbudt adgang til ssh - service.det skal være her, ellers alle værter har adgang til ssh - service, eftersom tcp parpir først ser ind i hosts.deny fil, og hvis der ikke er nogen regler om, at blokere ssh tjeneste, en vært kan forbinde.,, skabe en regel i /etc /hosts.allow kun give specifikke værter (som defineret ovenfor), at anvende ssh - tjeneste:,, sshd: 192.168.1 193.180.177.13, nu kun værter fra 192.168.1.0/24 netværk og 193.180.177.13 vært kan få adgang til ssh - service.alle andre værtsplanter er frakoblet, før de kommer til ind omgående, og modtage en fejl som denne:,, ssh_exchange_identification: forbindelse lukket ved hjælp af vært, ved hjælp af iptables kun give specifikke værter for at forbinde, et alternativ til tcp indpakning (selv om de kan bruge begge på samme tid) er at begrænse adgangen til ssh iptables.her er et simpelt eksempel på, hvordan man kan kun give en specifik vært for at forbinde deres ssh tjeneste:,, -&#iptables - en input - p tcp - m - stat new - kilde 193.180.177.13... dport 22 - j acceptere, og sørg for, at ingen andre har adgang til ssh tjeneste:,, -&#iptables - en input - p tcp - dport 22 - j -, redde din nye regler, og du er færdig., være tidslås tricks, du kan også bruge forskellige iptables parametre for at begrænse forbindelser til ssh - tjeneste for bestemte perioder.du kan bruge /andet /minut /time /dag eller skifte i følgende eksempler. i det første eksempel, hvis brugeren indtaster forkert kodeord, adgang til ssh - tjeneste er blokeret i et minut, og brugerne får kun et login prøver pr. minut fra det øjeblik:,, -&#iptables - en input - p tcp - m - syn - stat new - dport 22 - m - grænse - begrænse 1 /minut... grænse blev 1 - j acceptere, -&#iptables - en input - p tcp - m - syn - stat new - dport 22 - j -, i et andet eksempel, iptables er fastsat, at det kun er vært 193.180.177.13 til opkobling til ssh - service.efter tre mislykkede login prøver, iptables giver værtslandets eneste login prøver pr. minut:,, -&#iptables - en input - p tcp - s 193.180.177.13 - m - syn - stat new - dport 22 - m - grænse - begrænse 1 /minut... grænse blev 1 - j acceptere, -&#iptables - input - p tcp - s 193.180.177.13 - m - syn - stat new - dport 22 - j -, konkluderes, at disse egenskaber ikke er svært at få, men de er meget magtfulde teknikker for at sikre deres ssh tjeneste.det er en lille pris at betale for at få en god nats søvn.



Previous:
Next Page: