Oppgrader sikkerheten på Secure Shell med noen få enkle trinn

Secure Shell er nesten alltid på plass som en sikker erstatning for telnet. Det er standard oppførsel for enhver administrator. Men problemet er at boksen Secure Shell ikke er så sikker som den kan være. Det er mange måter å ta dette sikkerhetstiltaket til mye høyere nivåer, men hvilke er de raskeste å implementere som vil gi deg mest sikkerhet? La oss grave oss inn og finne ut av det.

SSH-nøkkelgodkjenning

Uansett hvordan du skiver det, hvis du bruker et passord for å logge på, kan det passordet bli sprukket. Det er et sikkerhetshull i ventingen. Du kan komme deg rundt dette ved å bruke SSH-nøkkelgodkjenning. For å gjøre dette trenger du ganske enkelt å generere en nøkkel og deretter kopiere nøkkelen til de riktige maskinene. Her er trinnene for dette (MERK: Disse trinnene vil bli illustrert på en Ubuntu-klient og server):

På den lokale maskinen

Åpne et terminalvindu og gi kommandoen ssh-keygen -t dsa. Denne kommandoen vil generere en offentlig nøkkel som deretter kopieres til serveren din med kommandoen ssh-copy-id -i ~ / .ssh / id_dsa.pub der brukernavnet er det faktiske brukernavnet på den eksterne maskinen og destinasjonen er den faktiske adressen til den eksterne maskinen.

Når du prøver å logge på den eksterne maskinen, blir du bedt om passordet til CERTIFICATE og ikke brukeren.

Hvis du bruker det grafiske skrivebordet, kan du også klikke på System | Innstillinger | Passord og krypteringsnøkler. Fra kategorien GUI (se figur A ), velg kategorien Mine personlige nøkler, klikk på Fil | Ny | Sikre Shell Key, og gå gjennom opprettingsveiviseren.

Figur A

Fra dette verktøyet kan du administrere alle passordene og personlige nøklene.

Når nøkkelen er opprettet, høyreklikker du på tasten og velger Konfigurer nøkkel for sikker skjell. Fra det nye vinduet må du legge til et datamaskinnavn (den eksterne maskinen) og et påloggingsnavn. MERKNAD: Du må allerede ha påloggingsnavnet på den eksterne maskinen.

Hvis du bruker Windows for å logge på den SSH-aktiverte serveren, kan du bruke PuTTYgen-verktøyet. Last ned PuTTYgen, start den, klikk på Generer-knappen, flytt musen rundt (i opprettelsesfasen), lagre den offentlige nøkkelen og kopier den offentlige nøkkelen til SSH-serveren.

MERKNAD: Som en forholdsregel bør du alltid håndheve passordbeskyttede nøkler. Hvis du tillater nøkkelgodkjenningsmetode, kan det hende at noen brukere lager passordfrie nøkler (for brukervennlighet). Dette er ikke trygt.

Blokker rottilgang

Denne er kritisk og bør gjøres på ALLE maskiner som gir sikker skalltilgang. Åpne filen / etc / ssh / sshd_config og se etter linjen:

 PermitRootLogin 

Forsikre deg om at linjen over er satt til nr. Riktig linje skal lyde:

 PermitRootLoginr 

Når du har korrigert og lagret filen, gir du kommandoen:

 sudo /etc/init.d/ssh omstart 

Hvis du prøver å logge deg på serveren ved å bruke ssh som root-bruker, blir du nektet tilgang.

Endre portnummer

Jeg forstår at sikkerhet ved tilsløring ikke egentlig er sikkerhet. Men når det gjelder sikkert skall, jo mer er det. Så jeg er en stor talsmann for å endre sikkert skall fra standardport 22 til en port som ikke er standard. For å gjøre dette, åpne opp filen / etc / ssh / sshd_config og se etter linjen (nær toppen):

 Port 22 

Endre dette portnummeret for å gjenspeile en ikke-standard port som ikke er i bruk. Du må sørge for at alle brukere som kobler seg til denne maskinen blir gjort oppmerksom på denne endringen i portnummer. Du vil også ønske å starte SSH-demonen på nytt etter at du har gjort endringen.

For å koble til en ikke-standard port fra kommandolinjen, bruker du SSH slik:

 ssh -p PORT_NUMBER -v -l USERNAME IPADDRESS 

Der PORT_NUMBER er den ikke-standardporten, er USERNAME brukernavnet du kan koble til, og IPADDRESS er adressen til den eksterne maskinen.

Siste tanker

Ut av esken er sikkert skall et ganske sikkert middel til å koble til en ekstern maskin. Men når du enkelt kan ta standard noen få skritt videre inn i riket av veldig sikker ... vil den lille tiden du vil bruke på dette lønne seg. Som standard for beste praksis bør du alltid, på et minimum, deaktivere innlogging av root ... alt utover det er bare glasur på den ordspråklige kaken.

© Copyright 2021 | pepebotifarra.com