ССХ приручник Сецуре Схелл

Водич о овом величанственом протоколу који је започео своје авантуре 1997. године, нудећи широк спектар алата који се истичу својом сигурношћу, будући да је веома опсежан, поделићу га на неколико ставки покушавајући да покрије најважније ствари на нивоу клијента и сервера.

Шта је протокол Сецуре Схелл?Сецуре Схелл или ССХ је мрежни протокол који омогућава размену података преко сигурног канала између два рачунара. ССХ користи технике шифровања које информације које путују кроз комуникациони медиј чине нечитљивим и ниједна трећа особа не може открити корисничко име и лозинку везе или оно што је написано током целе сесије. ССХ користи криптографију јавног кључа за аутентификацију удаљеног рачунара и дозвољава му да аутентификује корисника ако је потребно.

ССХ се обично користи за покретање сесије на удаљеној машини, где можете извршавати команде, али такође дозвољава тунелирање, произвољно прослеђивање ТЦП портова и Кс11 веза; Пренос датотека се такође може извршити помоћу повезаних СФТП или СЦП протокола.

Можемо видети да је његова велика атракција његова карактеристика више него довољна да замени стари ТЕЛНЕТ протокол, којем недостаје шифровање информација, компромитујући подаци, укључујући акредитиве за приступ.

Тхе ССХ сервер, подразумевано нуди ТЦП порт 22. ССХ клијент се обично користи за успостављање веза са ссхд сервером који прихвата удаљене везе. Оба се обично налазе на већини модерних оперативних система, укључујући Мац, Линук, Соларис и ОпенВМС.

Очекује се да ће Виндовс подршка за своју Сервер верзију бити званично објављена ове године, док на нивоу корисника нуди широк избор опција које истичу ПуТТИ у односу на остале.

Научите да користите Путти

ОпенССХОпенССХ (Опен Сецуре Схелл) је скуп апликација које омогућавају шифровану комуникацију преко мреже, користећи ССХ протокол. Направљен је као бесплатна и отворена алтернатива ССХ протоколу, највише се користи под Линуком и биће онај који ћемо користити током уноса.

1. Инсталирајте Сецуре Схелл ССХ


У готово свим дистрибуцијама његова клијентска верзија је унапред инсталирана, док је верзија сервера доступна у спремишту, инсталација би требала бити врло једноставна.

Дебиан, Убунту, Линук Минт и изведенице

 судо апт-гет инсталл опенссх-сервер

Центос, Рхел, Федора

 судо иум инсталирајте опенссх-сервер

Арцх-Линук

 пацман -Сиу опенссх

Проверавамо да ли ради са:

 цурл лоцалхост: 22
У случају исправног покретања, требало би да се врати:

[цолор = # 696969] [/Боја]

Повезивање са сервером
Помоћу клијента можемо се повезати са сервером који може бити удаљен чак и ако имамо обе верзије за интерно повезивање користећи лоцалхост.

Најосновнији начин повезивања био би:

 ссх корисник @ хостаддресс
У случају интерног повезивања то би било:
 ссх корисник @ лоцалхост
Имамо велики избор опција за повезивање, објаснићу неке врло корисне, све своје опције можете навести са:
 ман ссх
Овде им показујемо:

Ман ССХ опције
-ЦЗатражите компресију података ради уштеде пропусног опсега или података у случају да сте на мобилној мрежи.

-лНаведите корисника са којим ћемо се повезати.

-ИНаправите датотеку дневника у којој ће стандардна грешка бити одступљена.

-ФОдабрали смо другу конфигурациону датотеку корисну за сервере са необичним опцијама.

-гПотребно за тунелирање лука.

-иБирамо фасциклу коју ћемо користити за алтернативни приватни кључ.

-КОмогући када користите акредитиве ГССАПИ.

-нКористећи га заједно са Кс11 на овај начин, сав дневник који генерише апликација преусмерава се у / дев / нулл.

-илиПотребно за коришћење напреднијих опција као што је СерверАливеИнтервал 30.

-пИзаберите порт који није 22 за повезивање са хостом.

-вПриказује све кораке потребне за успостављање везе. Још више информација можете добити помоћу -вв -ввв.

-ИКСНеопходно ако желимо да користимо прослеђивање Кс11.

-ИОмогућава безбедно прослеђивање Кс11.

Повезаћемо се са сервером тест.солветиц.цом са корисником јцаррилло користећи други приватни кључ који се налази у фасцикли / хоме / јцаррилло / кеис-авс користећи порт 8022 нашег примерка на АВС-у.

 Пример → ссх -Ц -и “~ / кеис -авс /” -п 8022 -л јцаррилло тест.солветиц.цом
Као што видимо, то је опсежан, али врло потпун алат који заслужује више уноса како би могао покрити своје потребне функције за било ког Сисадмина средњег или професионалног нивоа.

Сада прелазимо на његову конфигурацију на нивоу клијент-сервер, генерисање јавних и приватних кључева, употребу прослеђивања портова у стварним ситуацијама, преусмеравање Кс сервера кроз прослеђивање Кс11, употребу сцп, сфтп, ссх-агент између осталих .

2. Заштитите ССХ сервер


Настављамо са ОпенССХ са фокусом на обезбеђивање нашег ССХ сервера, како бисмо избегли све врсте напада који могу угрозити наш сервер. Све ове конфигурације ће се извршити у датотеци ссхд_цонфиг која се налази у / етц / ссх / коју можемо модификовати било којим уређивачем текста у мом случају вим:
 судо вим / етц / ссх / ссхд_цонфиг
Сада видимо како то изменити.

Измените ссхд_цонфиг
Унутра ћемо видети типичну конфигурацијску датотеку засновану на „Опција вредности“ Ако ниједна од опција није подразумевано пронађена, линију морамо потпуно поставити, у другим случајевима то ће бити само промена из 0 у 1 из Не у Да или раскоментирање линије.

Измените порт 22
Је неопходан промените подразумевани порт на случајан многе скрипте су конфигурисане да нападају овај порт, препоручује се да их промените у у распону од 1000 до 23000 осигуравајући да порт не користи друга услуга.

Такође не треба да користимо портове попут 2222, 8022 или 1022, они су уобичајени као 22 и многе скрипте су конфигурисане да их нападну.

лука 2345

Ако имамо СЕЛИНУКС омогућено морамо користити додатну команду да бисмо омогућили приступ споља новом порту.

Семанаге порт -а -т ссх_порт_т -п тцп 2345 #Промена 22 ради безбедности

Користи подразумевани протокол 2
Морамо се побринути да све наше везе буду успостављене према Протоколу 2 јер 1 има много пропуста.

Протокол 2

Време је за унос акредитива
Одељак за претрагу "Аутентикација". Ваше прве две опције су такође важне. Први је број секунди које ће удаљени корисник морати да се пријави на вашу машину. Подесите ту вредност на неколико секунди. Неће требати много времена за пријаву ако знамо налог и лозинку.

На овај начин избегавамо одређене скрипте које користе то време. Типична вредност у смислу безбедности је 30, мада може бити и мања.

ЛогинГрацеТиме 30

Онемогућите роот приступ
Ово Најважнија је могућност бити жртва напада, требају им 3 ствари:

  • Корисник
  • Лука
  • Лозинка

Ако онемогућимо роот, они га већ имају јер је роот заједнички корисник на свим системима. Осим тога, овај корисник може изазвати пустош тиме што има све дозволе омогућене.

ПермитРоотЛогин бр

Омогућите контролисани приступ
Можемо контролисати који се корисник може пријавити путем ССХ -а, па чак и поставити клаузулу за повезивање само са одређене ИП адресе. Ово је слично ономе што АВС нуди да нас повеже са вашим инстанцама.

АлловУсерс фуланито@83.45.258.21

Важно је омогућити приступ само корисницима којима је потребан даљински приступ и по могућности ограничити их на познату ИП адресу.

Конфигуришите број неуспелих покушаја
Ако погрешно унесемо лозинку, сервер нам даје неколико покушаја да је поново унесемо, то мора бити ограничено или сте можда жртва скрипте грубе силе, можемо је поставити 2 или 3 пута.

МакАутхТриес 2

Број дозвољених веза истовремено
Ово може да варира у зависности од тога како користите сервер, али идеално је да га контролишете, само додајте укупан број корисника који дозвољава ССХ.

МакСтартупс Кс

Након што извршимо све измене у нашој датотеци, морамо поново покрените нашу ссхд услугу, Може се разликовати у зависности од менаџера сервиса.

СистемД

 системцтл рестарт ссхд

Упстарт / Сисинит

 поновно покретање услуге ссхд

Све ове промене додају а додатни ниво безбедности али морамо имати на уму:

  • Користите алфанумеричке лозинке.
  • Употреба Аутентикација јавним / приватним кључевима када је то могуће.
  • Допуните сигурност СЕЛИНУКС -ом и заштитним зидовима.
  • Контролишите приступ на који се корисници требају пријавити на даљину.

Потврдите ССХ јавне / приватне кључеве


Тренутно се користи ССХ кључеви То је неизоставан захтев, ову потврду аутентичности администратори широко користе за аутоматизацију задатака између различитих сервера, а чак је користе и програмери за приступ СЦМ -у, попут ГИТ -а, ГИТХУБ -а, ГИТЛАБ -а, између осталог.

Нуди велику сигурност и могућност креирање аутоматизованих задатака засновано на скрипти као а Назад или Поновите измене на више чворова истовремено.

Приликом коришћења кључа ССХ (јавни и приватни), могу се лако повезати на један сервер или више сервера, без потребе да сваки пут уносе лозинку. Могуће је конфигурирати ваше кључеве без приступне фразе, међутим то би било безобзирно, ако је неко добио ваш кључ, могао би га користити. Причаћемо о томе како да генеришете кључеве, дистрибуирате их и користите ссх-агент за постизање веће безбедности.

Генерисање кључева без лозинке
Пре свега, уверите се да имате инсталиран ОпенССХ, није потребно, сервер само клијент.

Почињемо генерисањем кључа типа ДСА са 1024 бита сигурности, више него довољно, иако можете ићи даље и генерисати кључ типа РСА са ограничењем од 4096.

 ссх -кеиген -б 1024 -т дса
Тражиће од нас локацију на којој ће сачувати подразумеване кључеве ~ / .ссх
 Унесите датотеку у коју желите да сачувате кључ (/хоме/тест/.ссх/ид_дса)
Затим ће тражити фразу за сада нећемо користити ниједну и оставићемо је празном и рећи ће нам да је кључ креиран и да нас одражава.

Слика ће увек бити другачија, генерише се насумично, па ако одемо у .ссх фасциклу морамо имати 2 датотеке

ид_дса -----> Приватни кључ (Не делите га ни са ким, то је као ваш ТДЦ).
ид_дса.пуб ----> То је оно што делимо ради повезивања.

Делите јавни кључ
У случају да желимо да делимо јавни кључ у СЦМ -у или Цхеф, Пуппет, Јенкинс, визуализујемо датотеку јавног кључа, копирамо је и залепимо тамо где одговара.

 море ид_дса.пуб ссх-дсс ААААБ3НзаЦ1кц3МАААЦБАН6СЕИ4Ккзб23пЈИРКСИАтПмГЈХлн5хФдтхФк43еф + ифР29в2ИкнКСЦФвефКК8јорСДиУЕИ / 1Ф / ип0као мјхФКу1јНКСОгФ0ПАЗТфивРВФн6К9ФРсиКСУ9с ФКС + + Л22сВ7ГкЦХПкААААФКЦиФ1Гдх3 кКиВ3мф3и4ИКС654О82СЛГл7Вхх5УсвГ8р8д8пВ6Р Цап4кр / Ј44кДДн 0гФАрХмФвАкфКАААИЕАмВИјПИАдК9ДЦНВП + + + 03анВгиоЗкСППс23дјиВК756У4ВитМ0ГиИКК89ХЦдвТФФпСагнфдВпВх4 Хко4И5скКихнПМтБ бФНбП / 2СмГдПз1АОмб7твРрТкј5ВЛтКсеДеБ3уловУКарвиБВВвАвкткмозоЗХОАДВкрЕПизкИАААЦАУ2ДФ1ЗГТиЈМП ОхВБ7млсВххкк53ОкККЈбЗксл9хкОиСкаЛУфКБНу6Ае441екИОбколВНЦБИвЦО3уКИОозизНГБхкХЕ7ФВк 1оКсгуј + + + 2ГАК УГНкее96Д2би С7даиеИКНмФер2хО / СБкзепМрВАиИУнУсП5ирмИспкјГлКкП + ХКСВ = тестирање @ солветиц 
У случају да желите да га делите ради приступа серверу, увек препоручујем да користите ссх-цопи-ид који је укључен у ОпенССХ и веома је једноставан за коришћење:
 ссх-цопи-ид усер @ ремоте-сервер-ип -и одређује локацију кључа за употребу.
Постоје и други начини као што су:
 ссх корисник @ ремоте-сервер-ип \ 'цат >> .ссх / аутхоризед_кеис2' <.ссх / ид_дса.пуб
 сцп ~ / .ссх / ид_дса.пуб корисник @ ремоте-сервер-ип
Од сада су кључеви повезани и потребно је само да унесете хост.
 ссх -л корисник ремоте-сервер-ип
Овај пут неће тражити лозинку и можемо користити скрипте без интеракције.

Генеришите лозинку и повежите је са ссх-агентом
Тхе Сигурност кључа ССХ Заснован је на нашем приватном кључу који функционише као приступна картица, али ако неко украде наш кључ, моћи ће да приступи свим местима где ми имамо приступ. Али при генерисању приступне фразе можемо имати додатни ниво, не само да је кључ неопходан, већ и не морамо да уводимо нашу фразу.

Овај пут ћемо креирати рса кључ са већом сигурношћу конфигурисањем фразе.

 ссх -кеиген -б 4096 -т рса -Ц "Кључ са запорком" # -Ц Додајте коментар. 
Као израз можемо користити размаке, тачке и посебне знакове
 пример ---> Ово је мој нови кључ са Фр @ С3.
Делимо нови кључ:
 сцп ~ / .ссх / ид_рса.пуб корисник @ ремоте-сервер-ип
Овај пут су нам потребни кључ и лозинка, али унос неколико пута је досадан, али можемо га допунити ссх-агентом, морамо га покренути.
 ссх-агент
Додајемо наш кључ
 ссх-адд Унесите лозинку за /хоме/усер/.ссх/ид_рса: # Уносимо фразу коју смо конфигурисали. 
Сада се можемо повезати са било којим сервером који користи наш кључ, а да не морамо да га уносимо приступна фраза.

Ову методу препоручујем ако се налазите изван интранета, клијента и сервера на различитим тачкама на Интернету и нећемо користити аутоматизоване задатке, већ се радије повезујемо са сервером ради удаљене администрације, најбоље је навести лозинку или јако дуго приступна фраза (15 или више знакова, велика, мала слова, бројеви и симболи) до јавног кључа.

Овуда биће практично немогуће бити хакован овом методом, јер не само да ће хакер морати да зна лозинку, већ ће морати да има и важећи јавни сертификат на серверу како би могао да се аутентификује. (Наравно, под претпоставком да сервер никада није био угрожен и да је потпуно ажуран и са најбољом могућом сигурношћу).

Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave