Како конфигурирати сигурност ССХ Линука

Један од најчешће кориштених протокола на сигурносном нивоу за успостављање веза у УНИКС окружењима је ССХ (Сецуре Схелл) протокол који нам нуди низ функционалности и посебних карактеристика за заштиту података и успостављених веза.

ССХ је протокол који је развијен фокусирајући се на сигурност комуникације између два система путем модела клијент / сервер и захваљујући којем је корисницима дозвољено да се даљински повежу са хостом.
Једна од главних карактеристика ССХ -а је да шифрује сесију везе, што спречава било ког корисника да добије нешифроване лозинке.

Врсте заштитеКада користимо ССХ протокол имаћемо следеће врсте заштите:

• Када се почетна веза успостави, клијент може проверити да ли се повезује на исти сервер на који се претходно повезао

• Клијент шаље информације за потврду идентитета серверу путем 128-битне енкрипције

• Сви подаци послани и примљени током сесије преносе се 128-битном енкрипцијом, што отежава дешифровање и читање

• Клијент има прилику прослиједити Кс11 апликације са сервера, ово је техника која се назива просљеђивање Кс11 која пружа сигуран начин кориштења графичких апликација преко локалне или вањске мреже.

Сада у оперативним системима Линук налазимо ССХ конфигурацијску датотеку на путањи / етц / ссх / ссх_цонфиг и захваљујући овој датотеци биће могуће спровести све мере безбедности за ССХ везе.

ЕНЛАРГЕ

За системе мацОС, ова датотека се налази на / привате / етц / ссх / ссх_цонфиг путањи и има симболичну везу до / етц / ссх / ссх_цонфиг ради компатибилности.

Приликом уређивања ове датотеке морамо имати на уму следеће.

• Празни редови и редови који почињу са '#' су коментари

• Сваки ред почиње кључном речи, а затим следи аргумент (и)

• Опције конфигурације могу се одвојити празнинама или опционим празнинама и знаком =

• Аргументи се могу ставити у двоструке наводнике (") да би се навели аргументи који садрже размаке

1. Како уредити Линук ссх_цонфиг датотеку

Да бисмо уредили ову датотеку да бисмо успоставили одговарајуће вредности, морамо да извршимо следеће са уређивачем:

 судо нано / етц / ссх / ссх_цонфиг

Видећемо следеће:

ЕНЛАРГЕ

Датотеку ссх_цонфиг организују домаћини и сваки хост садржи одређене поставке за тог одређеног хоста. Тамо можемо користити замјенске знакове попут * за упаривање више назива хостова с једним исказом.
Неки од параметара које можемо користити у овој датотеци су:

ДомаћинОграничите изјаве само за хостове који одговарају једном од образаца датих после кључне речи.
УтакмицаОграничите изјаве само на хостове који одговарају наведеним критеријумима
АддрессФамилиОдређује коју породицу адреса треба користити при повезивању, важећи аргументи су: ани, инет, инет6.
БатцхМодеСа овом вредношћу упит за лозинку ће бити онемогућен, чиме се избегава случајно блокирање у захтеву за лозинку
БиндАддрессОдређује да се као адреса извора везе користи адреса наведена на локалном рачунару.
ЦхалленгеРеспонсеАутхентицатионПоказује да ли треба користити аутентикацију изазов-одговор. Ово је првенствено наслеђена метода коју је заменила КбдИнтерацтивеАутхентицатион
ЦхецкХостИПРеците ссх -у да додатно провери ИП адресу хоста у датотеци кновн_хостс.
ЦипхерОдноси се на шифровање које ће се користити за шифровање сесије у верзији протокола 1.
ШифреОдређује дозвољене шифре за верзију 2 протокола према приоритету.

Затим ћемо видети неке практичне савете за побољшање безбедности ССХ веза са Линуком и на тај начин постићи најбоље перформансе приступа.

2. Како закључати Линук ССХ датотеке

Први корак пре уређивања датотеке је да се уверите да и датотека ссх_цонфиг и датотека ссхд_цонфиг имају власника и корисника конфигурисане као роот, јер је то супер корисник Линука и нико бољи од овога није власник.

За ово извршавамо следеће:

 судо цховн роот: роот / етц / ссх / ссхд_цонфиг судо цхмод ог-рвк / етц / ссх / ссхд_цонфиг

3. Како потврдити ССХ протокол верзија 2 Линук

Верзија 2 ССХ -а има побољшани алгоритам за размену кључева који није осетљив на безбедносну рупу у верзији 1, чиме се побољшава општа безбедност веза, па је идеално потврдити да се нови Протокол 2 користи уместо у Протоколу 1 и за ово морамо потврдити следећи ред у датотеци ссх_цонфиг:

 Протокол 2

ЕНЛАРГЕ

Тамо такође можемо имплицитно конфигурирати протокол путем шифри, који ће аутоматски поставити протокол на 2 за употребу модерних шифри, за то потврђујемо сљедећу линију одмах испод линије протокола:

 Шифре аес128-цтр, аес192-цтр, аес256-цтр

4. Како онемогућити празне лозинке ССХ Линук

Важно је потврдити да сваки ССХ налог мора да користи лозинку приликом пријављивања, блокирајући празне лозинке које би омогућиле једноставан приступ који изазива безбедносне ризике у систему, да бисмо то потврдили користићемо следећи ред или, ако не постоји, додаће га постављањем симбола #:

 ПермитЕмптиПассвордс бр

ЕНЛАРГЕ

5. Како онемогућити ССХ Линук роот пријављивање

Спречавањем пријављивања роот корисника биће могуће закључати одређене налоге и онемогућити њихову употребу у целом систему, опције за ПермитРоотЛогин укључују „да“, „без лозинке“, „само принудне команде“ или „не“. Подразумевано је "да". Да бисмо потпуно зауставили роот пријављивање, користићемо следећи ред:

 ПермитРоотЛогин бр

ЕНЛАРГЕ

6. Како поставити нови Линук ССХ порт

Подразумевано, порт који је додељен за ССХ је 22, тако да нападачи са сигурношћу знају преко ког порта ће приступити за извођење својих напада, па је добар начин заштите да промените овај подразумевани порт и наведете само овлашћене кориснике.

За ово морамо пронаћи линију Порт и додати следећу синтаксу:

 Порт КСКСКСКСКС

ЕНЛАРГЕ

7. Како ограничити приступ ССХ Линук -у

У случају да приступ ССХ серверу има више корисника, могуће је применити одређена ограничења стварањем група у које су укључени ти корисници, то је могуће додавањем кључних речи као што су:

 АлловУсерс (Дозволи кориснички приступ) АлловГроупс (Дозволи групни приступ) ДениУсерс (Ограничи кориснички приступ) ДениГроупс (Ограничи групни приступ)

На пример, у конфигурацијској датотеци можемо покренути следеће:

 АлловУсерс Солветиц тестира ДениГроупс тест

8. Како ажурирати ССХ Линук грејс време

Подразумевано, време које корисник може остати неактиван без пријављивања је два минута, како би се спречило неовлашћено повезивање са системом, овај пут се може уредити у реду ЛогинГрацеТиме повећавајући или смањујући ово време:

 ПријаваГрацеТиме 1м

ЕНЛАРГЕ

9. Како креирати ССХ псеудоним за Линук

Унутар ССХ конфигурација могуће је навести псеудоним, који омогућава повезивање са одређеним сервером преко порта и дефинисаним корисницима, на пример, можемо додати следеће:

 Хост дев ХостНаме дев.солветиц.цом Порт 3333 Корисник Солветиц

У овом конкретном случају морамо приступити на следећи начин:

 ссх Солветиц@дев.солветиц.цом -п 3333

10. Аутентикација са сигурним кључевима ССХ Линук

ссх ће бити много сигурнији и кориснији када се користи са паровима јавних / приватних кључева ради аутентификације, уместо да се користи лозинка. Датотека ссх_цонфиг може декларисати одређени кључ за одређени хост помоћу кључа ИдентитиФиле, у овом случају бисмо унели следеће:

 Хост дев ХостНаме дев.солветиц.цом Порт 3333 Солветиц ИдентитиФиле корисника ~ / .ссх / дев.солветиц.кеи

У овом случају веза би била следећа:

 ссх -и ~ / .ссх / дев.солветиц.кеи Солветиц@дев.солветиц.цом -п 3333

Неки додатни параметри су:

КомпресијаТамо можемо користити вредности попут да или не да бисмо омогућили онемогућавање компресије за хост.
ЛогЛевелОмогућава дефинисање нивоа детаља у евиденцијама за ссх клијента, опције су ТИХО, ФАТАЛНО, ГРЕШКА, ИНФО, ВЕРБОСЕ, ДЕБУГ1, ДЕБУГ2 и ДЕБУГ3.
СтрицтХостКеиЦхецкингПодесите предност за додавање хостова у датотеку кновн_хостс.

Дакле, имамо различите опције за побољшање сигурности и ССХ повезивања у Линуку.