Opgrader sikkerhed på Secure Shell med et par nemme trin

Secure Shell er næsten altid på plads som en sikker erstatning for telnet. Det er standardopførsel for enhver administrator. Men problemet er, at boksen Secure Shell ikke er så sikker, som den kan være. Der er masser af måder at tage denne sikkerhedsforanstaltning til meget højere niveauer, men hvilke er de hurtigste at implementere, der får dig mest sikkerhed? Lad os grave dig ind og finde ud af det.

SSH-nøgleautentificering

Ligegyldigt hvordan du skiver det, hvis du bruger en adgangskode til at logge ind, kan denne adgangskode knækkes. Det er et sikkerhedshul i ventingen. Du kan omgå dette ved hjælp af SSH-nøgleautentificering. For at gøre dette skal du blot generere en nøgle og derefter kopiere nøglen til de rigtige maskiner. Her er trinnene til dette (BEMÆRK: Disse trin vil blive illustreret på en Ubuntu-klient og -server):

På den lokale maskine

Åbn et terminalvindue, og udsend kommandoen ssh-keygen -t dsa. Denne kommando genererer en offentlig nøgle, der derefter kopieres til din server med kommandoen ssh-copy-id -i ~ / .ssh / id_dsa.pub protection hvor brugernavnet er det faktiske brugernavn på den eksterne maskine og destinationen er den faktiske adresse på den eksterne maskine.

Når du forsøger at logge på den eksterne maskine, bliver du bedt om adgangskoden til CERTIFICATE og ikke brugeren.

Hvis du bruger det grafiske skrivebord kan du også klikke på System | Præferencer Adgangskoder og krypteringsnøgler. Fra denne GUI (se figur A ) skal du vælge fanen Mine personlige nøgler, klikke på Filer | Nyt | Sikker Shell-nøgle, og gå gennem oprettelsesguiden.

Figur A

Fra dette værktøj kan du administrere alle dine adgangskoder og dine personlige nøgler.

Når nøglen er oprettet, skal du højreklikke på tasten og vælge Configure Key for Secure Shell. Fra det nye vindue skal du tilføje et computernavn (den eksterne maskine) og et login-navn. BEMÆRK: Du skal allerede have login-navnet på den eksterne maskine.

Hvis du bruger Windows til at logge på den SSH-aktiverede server, kan du bruge værktøjet PuTTYgen. Download PuTTYgen, start det, klik på knappen Generer, flyt musen rundt (i oprettelsesfasen), gem den offentlige nøgle og kopier den offentlige nøgle til SSH-serveren.

BEMÆRK: Som en forholdsregel skal du altid håndhæve kodeordbeskyttede nøgler. Hvis du tillader nøglen godkendelsesmetode, kan du muligvis finde nogle brugere oprette nøgler uden adgangskode (for brugervenlighed). Dette er ikke sikkert.

Bloker root-adgang

Denne er kritisk og bør udføres på ALLE maskiner, der tillader sikker shell-adgang. Åbn filen / etc / ssh / sshd_config og kig efter linjen:

 PermitRootLogin 

Sørg for, at ovenstående linje er indstillet til nr. Den rigtige linje skal læse:

 PermitRootLogin-nr 

Når du har rettet og gemt filen, skal du udstede kommandoen:

 sudo /etc/init.d/ssh genstart 

Hvis du forsøger at logge på serveren ved hjælp af ssh som root-bruger, nægtes du adgang.

Skift portnummer

Jeg forstår, at sikkerhed ved tilsløring ikke rigtig er sikkerhed. Men i tilfælde af sikker skal, jo mere jo mere. Så jeg er en stor talsmand for at ændre sikker shell fra standardport 22 til en ikke-standard port. For at gøre dette skal du åbne filen / etc / ssh / sshd_config og kigge efter linjen (nær toppen):

 Port 22 

Skift dette portnummer for at afspejle en ikke-standardport, der ikke er i brug. Du skal sørge for, at alle brugere, der opretter forbindelse til denne maskine, bliver opmærksomme på denne ændring i portnummer. Du vil også gerne genstarte SSH-dæmonen, når du har foretaget ændringen.

Hvis du vil oprette forbindelse til en ikke-standardport fra kommandolinjen, skal du bruge SSH sådan:

 ssh -p PORT_NUMBER -v -l USERNAME IPADDRESS 

Hvor PORT_NUMBER er den ikke-standardport, er USERNAME det brugernavn, du skal oprette forbindelse til, og IPADDRESS er adressen på den eksterne maskine.

Endelige tanker

Ud af kassen er sikker skal et ret sikkert middel til at oprette forbindelse til en fjernmaskine. Men når du nemt kan tage standarden et par skridt videre ind i området for meget sikker ... den lille tid, du vil bruge på det, vil betale sig. Som standard for bedste praksis skal du altid, ved et minimum, deaktivere root-login ... alt ud over det er bare prikken over i'et på den ordsprægede kage.

© Copyright 2020 | mobilegn.com