, het profiel in de server /ETC /- /sshd_conf. Wat je moet doen, het dossier wijziging wordt van kracht na elke verandering van start -, diensten, veranderen. - naar de haven, bij verstek, het verband, naar de haven van 22.De aanvaller van haven - software of de werking van de motor van het gebruik van een mooie dienst.Is het verstandig om het aantal havens dan 1024 omdat de meeste van de scanner niet - standaard (met inbegrip van SYN) hoge haven.,, open /ETC /- /sshd_config documenten op zoek naar lijn zei:,, de haven van 22, de haven en de hervatting van de dienst:,, - /ETC /init.d/ssh opnieuw, alleen om het Protocol 2. Er zijn twee versies van het protocol.Gebruik het Protocol 2 alleen veiliger; 1 is door het probleem van de veiligheid van de mensen die van het protocol, met inbegrip van in de aanval in.Redactie /ETC /- /sshd_config op zoek naar lijn zei:,, de overeenkomst, het veranderen van het circuit, 2,1, dus dat Protocol 2,,,, die alleen bepaalde gebruikers door het log, moet je niet toegestaan door de wortel - SSH, want dit is een grote en onnodige risico 's.Als de aanvaller je systeem op de wortel, hij kan niets meer doen dan hem toegang tot de normale gebruiker inlogt.Toewijzing van het server, niet toestaan dat de gebruiker.Vinden de lijn zei:,,, veranderingen, PermitRootLogin is, is niet voor de,,, en de dienst beginnen.Dan kun je inloggen op andere gebruikers van definities en de overgang naar de wortel wil je een super - gebruikers, in het systeem en het gebruik van de gebruikers van het SSH - absoluut niet het recht om een virtuele lokale gebruikers is verstandig.Als rekening wordt gehouden met de schade aan de gebruikers, is het niet mogelijk om te doen.Het creëren van een gebruiker, om ervoor te zorgen dat de in het wiel, zodat je kan worden overgeschakeld op de gebruikers.En als je denkt dat er een lijst van wie is de enige die het kan, door middel van het ingelogd, kan je het dossier in de sshd_config aangewezen.Zoals, laten we zeggen, ik wil dat de gebruiker anzor Dasa en kimy moet door het inloggen.In de sshd_config dossier voorbij is, zal ik samen met de lijn die de gebruikers 安泽达萨劲美:,,,, de oprichting van een douane - vlag, als je wil, voor alle gebruikers verbonden met je - diensten specifieke nieuws zien, je kan de oprichting van een douane - vlag.De totstandbrenging van een tekst (in mijn voorbeeld /ETC /- vlag. En om een tekst in het) informatie; bijvoorbeeld:,, * * * * * * * *****************************************************************, dit is een privé - diensten.Je zou hier niet moeten zijn, * * * * * * *, alsjeblieft, ga weg.* * * * * * *, *****************************************************************, na de voltooiing van de opstelling van het bewaren van documenten.In de sshd_conf documenten, het vinden van een lijn zei:,,&#vlag /ETC /issue.net, dat de opheffing van de regels veranderen de gewoonte het spandoek weg documenten, AVI., authenticatie, in plaats van gebruik te maken van gebruikersnamen en wachtwoorden - certificering, kun je de sleutel van de certificering, AVI.Dat kun je de toegangscode en AVI authenticatie en geactiveerd.Is er een openbare sleutel certificering zodat je kogelvrij om te voorkomen dat woordenboek aanvallen, omdat je geen behoefte aan een naam en wachtwoord log - diensten.Maar je moet een sleutel, AVI, een sleutel en een sleutel.Je zal redden van een privé - sleutel op je antwoordapparaat, en zal de sleutel gekopieerd naar de server.Als je wilt inloggen op de server - sessies, zal de sleutel checken, als ze je in de wedstrijd voor Shell.Als de sleutel niet aan je is gebroken. En, in dit geval de particuliere machine (dit is zal ik met de server) is het station en de server server1.In deze machine, ik heb een familie van dezelfde MAP, dit zal niet werken, als de familie MAP is een andere cliënt en de server.Eerst moet je de sleutel voor het scheppen van een bevel voor uw privé - machine, ~ $ssh-keygen - AVI.Je zal worden aangespoord een wachtwoord voor je sleutels, maar je kunt het niet laten, want dat is geen aanbeveling.Het genereren van een sleutel voor: uw privé - in - /. - /id_dsa en uw openbare sleutel - /id_dsa.pub in.De volgende, een kopie van de inhoud, ~ /. - /id_dsa.pub 1 ~ /- /authorized_keys dossier.De inhoud van id_dsa.pub ~ /. - /documenten moeten ziet er als volgt uit:,, - dollar /id_dsa.pub kat. SST, SST DSS aaaab3nzac1kc3maaacbam7k7vkk5c90rsvohihdurovybngr7yeqtrdffcuvwmwcjydusng, aic0ozkbwlnmdu + y6zojnpottpnpex0kroh79max8nzbbd4auv91lbg7z604ztdrlzvsfhci /fm4yroh, ge0fo7fv4lgcuilqa55 + qp9vvco7qybdipdunv0laaaafqc /9iljqii7nm7akxibpdrqwknypqaaaiea, Q + ojc8 + oyioexcw8qcb6ldibxjv0ut0rrutfvo1bn39cawz5pufe7eplmr6t7ljl7jdkfea5de0k3wds, 9 /rd1tj6ufqsrc2qpzbn0p0j89lpijdmmsisqqako4m2fo2vjcgcwvsghiod0amrc7ngie6btanihbbq, ri10rgl5gh4aaacajj1 /rv7iktoyuvyqv3baz3jhoaf + H /dudtx + wutujpl + tfdf61rbwoqraruhfrf0, grafiek /rx4oozzadlqovafqrdnu /no0zge + wvxdd4ol1ymulrkqp8vc20ws5mlvp34fst1amc0ynebp28eqi, 0xpefud0ixzztxthvlzia1 /nuzy = dit e - mailadres worden beschermdUit deze.Je moet javascript om, als het dossier - /. - /authorized_keys bestaat al, aanvullende documentatie - /inhoud van documenten. Het /id_dsa.pub - /- /authorized_keys server1.Wat we nog moeten doen is die ~ /de juiste rechten. - /authorized_keys fileserver:,, - chmod 600 dollar ~ /. - /authorized_keys, en nu, de toewijzing van sshd_conf dossiers met de certificering van de dsa sleutel.Om ervoor te zorgen dat u een van de volgende drie opmerkingen:,, dat is authorizedkeysfile% RSA, Pubkey gecontroleerd is, H /. - /authorized_keys,, de hervatting van de diensten.Als je de configuratie is goed, je zou nu kunnen - server, rechtstreeks uit de map naar je huis, er is geen interactie. Als je wilt, AVI, certificering, om ervoor te zorgen dat je wachtwoord om na te gaan of de annulering en veranderingen, sshd_config, lijn, is niet de,,,,, of niet, als het wachtwoord: iemand probeert je - diensten in verband met de openbare sleutel niet op de server, hij zou weigeren, zelfs niet op zo 'n fout zien dat: de weigering van toestemming (openbare),,,,, het gebruik van specifieke TCP Wrappers mogen alleen de gastheer van een,, als Je wil kan het netwerk slechts bepaalde gastheer kan de verbinding met de je - diensten. Deze methode is nuttig, maar jeWil je niet gebruiken of verpest je je karakter.Maar je kan het gebruik van TCP Wrappers; in dit geval sshd TCP verpakking.Ik laat de regels mogen alleen de gastheer in de lokale netten 192.168.1.0/24 en afgelegen verbonden met mijn 193.180.177.13 - diensten, Wrappers. Wat in de eerste plaats, de standaard TCP /ETC /hosts.deny dossier tot een match gevonden. Het dossier zien wat meester te weigeren.De volgende verpakkingen, TCP /ETC /hosts.allow dossier lijkt om te zien of er bepalingen, waardoor met de gastheer van een bepaalde dienst.Ik zou het creëren van een regel, die in /etc/hosts. Ontkennen:,, sshd: alle, betekent dit dat, bij verstek van de gastheren verboden toegang - diensten.Het moet hier zijn, anders zal het gebruik van alle gastheer - diensten, aangezien de TCP Wrappers ten eerste dossier kijken, als er over hosts.deny dossier tot de overeen - diensten. Het blokkeren van geen regels, geen gastheer kan verbinden.De volgende, creëren,, /ETC /hosts.allow alleen toegestaan om specifieke regels (zoals de definitie van de gastheer voor het gebruik van diensten):,, - 193.180.177.13 sshd: we, nu, maar 192.168.1.0/24 netwerk van gastheer en - diensten 193.180.177.13 gastheer kan bezoeken.Alle andere gastheer voordat ze zelfs kan inloggen en afgesloten, en ontvangen een fout is zo:,, ssh_exchange_identification: in verband met de gastheer, sluit het gebruik van de combinatie, mogen alleen de gastheer van een specifieke, in plaats van TCP Wrappers (terwijl je met je gebruik maken van deze twee beperkingen op de toegang tot het).Hier is een eenvoudig voorbeeld, je kunt alleen toegestaan om specifieke met de gastheer van je - diensten, - je - #:, input - TCP - Maine... - 193.180.177.13 bron van nieuwe --dport 22 J, aanvaard, en ervoor te zorgen dat de andere mensen geen toegang hebben tot de diensten:,, - -&#input - TCP - je - ontwerpresolutie 22 J vallen, red je nieuwe regels, voor alles wat je doet. - tijd, sluit je vaardigheden, kunnen ook gebruik maken van verschillende parameters in verband met de beperking van de combinatie - diensten specifieke tijd.Je kan het gebruik van /sec /min /uur /dag, of, in de volgende voorbeelden -.,, in het eerste geval, als de gebruiker het verkeerde wachtwoord - toegang geblokkeerd en gebruikers van diensten voor een minuut, slechts een toegangscode proberen elke minuut vanaf dat moment:,,&#je - - input - Output - - M P - landen nieuwe beweging TCP. 22 meter beperkte limiet 1 /minuten maximum - 1 J - je -&#aanvaarden, input - output - - M P - landen nieuwe beweging TCP. 22 J vallen, en in het tweede geval is alleen toegestaan, voor je meester - 193.180.177.13 in verband met diensten.Na drie mislukte inlog pogingen, om slechts een gastheer je inlog pogingen per minuut, je #:, - - input - TCP 193.180.177.13 m staat... Met nieuwe nationale sport, 22 meter beperkte limiet 1 /minuten maximum - 1 J - je -&#aanvaarden, input - TCP 193.180.177.13 m staat... Nieuwe nationale beweging met 22 J druppels, sluiting van deze kenmerken niet moeilijk...,,, maar ze is het beschermen van je - diensten zeer krachtige technologie.Het is een kleine prijs om te betalen voor een nacht goed slapen.