Instalarea și configurarea SSH - Ubuntu
Deci, SSH (shell securizat) - Terminal Server Secure oferă acces la distanță la sistem. în condiții de siguranță, deoarece tot traficul între client și server sunt criptate. Și dacă acesta este în siguranță cu setările implicite? Dacă aveți un server cu capacitatea de a se conecta prin SSH pe internet, asigurați-vă că nu va fi dispus să ridice parola. Nu am nevoie pentru a explica faptul că un atacator poate obține acces nelimitat la sistem.
Toți dezvoltatorii moderne distribuții Linux Ubuntu încearcă să ridice nivelul de securitate la parametri standard, dar acest lucru nu este întotdeauna suficient, și, uneori, vom alege conceptul greșit și să facă greșeli.
Instalarea serverului SSH în Ubuntu.
Instalarea serverului SSH pe Ubuntu se face cu următoarea comandă:
După ce instalați serverul SSH înregistrează automat în pornire. De control de pornire sale, oprirea sau repornirea cu comanda:
Principalul fișier de configurare SSH - Server - fișierul / etc / ssh / sshd_config. un read-only sau editarea super-utilizatorul (root). Pentru a aplica modificările, trebuie să reporniți ssh-server.
setările de securitate ale serverului SSH.
Protocolul implicit.
Din nou, în distribuții Linux moderne, în mod implicit implementat protocolul SSH2. Dacă cazul este dat ceva de genul:
Este necesar să se lase numai 2:
Nu se recomanda folosirea protocolului nesigur SSH1.
În mod implicit, recentele versiuni Ubuntu, rădăcină de acces utilizator prin SSH este limitat.
Vă recomandăm să modificați parametrul nr:
De asemenea, această opțiune este utilă în cazul în care serverul se execută mai mulți administratori în contul de super-utilizator. Administratorii vor merge în contul dvs., și numai apoi a obține privilegii de root, va facilita în mare măsură serverul de audit și a acțiunilor pe care managerii efectuează.
Un pic mai mult despre radacina Ubuntu, a creat un utilizator implicit (în timpul instalării sistemului) poate rezolva toate sarcinile administrative prin intermediul sudo. Activați utilizatorul root pentru a accesa sistemul nu mi se pare o soluție rezonabilă.
Acordarea de acces numai la utilizatori sau grupuri specificate.
Imaginați-vă că serverul dvs. are un anumit număr de utilizatori, dar oferă acces SSH la doar câteva necesar. Deci, să limiteze domeniul de aplicare al utilizatorilor care au acces:
Puteți specifica, de asemenea, un grup de dorit, cum ar fi administratori:
Interzice accesul la parole „goale“.
Ar trebui să interzică în mod explicit accesul la distanță folosind parole goale:
Schimbarea portului implicit.
SSH implicit ruleaza pe portul 22. Prin urmare, cea mai mare parte a atacurilor va fi destinată în mod special în port, apoi utilizați selectarea unui nume de utilizator și parola vor fi încercări de a obține acces la server. Am exclus cele mai renumite nume de utilizator dintr-o bază de date de posibile atacator (root) și pentru a permite accesul doar anumitor utilizatori, iar acum se va reduce numărul de atacuri posibile (roboții în căutarea vulnerabilități pe porturile standard), pentru a schimba portul utilizat de implicit (noul port ar trebui să fie liber!) .
Schimbarea, de exemplu, cu privire la:
Noi intrăm ca utilizatorul care va configura accesul SSH la server.
Generează o lungime cheie RSA de 4096, vi se va solicita să specificați locația de stocare, lăsați implicit (/home/UserName/.ssh/id_rsa), acesta va fi, de asemenea, a cerut să setați o parolă pe cheia generată. Dacă parola nu este specificată, atunci în care nu trebuie să-l înscrie în certificatul de autentificare pe server este mai puțin fiabile. Vă recomandăm să specificați o parolă:
În perechea de chei este creat directorul:
Verificați pentru a vedea dacă sunt create fișiere:
Setați permisiunile pentru folder și fișiere:
Cheia privată care urmează să fie transmise clientului într-un mod sigur și pentru a elimina de pe server pentru a se evita compromiterea cheilor.
id_rsa cheie trimis la client:
Apoi, șters de pe server:
Să creați fișierul authorized_keys (localizat în sistem sub același utilizator „nume de utilizator“, pentru care a fost creat certificatul) și copia conținutul fișierului id_rsa.pub, definiți și proprietarul drepturilor la directorul și fișierul.
Noi verifica dacă textul copiat:
În cazul în care textul este copiat cu succes, cheia publică poate fi îndepărtată:
Acesta ar trebui să decomenteze linie și pentru a expune parametrii după cum urmează:
Reporniți serverul SSH:
După ce ați configurat certificate pentru toți utilizatorii (care au nevoie de acces peste SSH), am recomandăm să dezactivați autentificarea cu parolă, modificați toate același fișier / etc / ssh / sshd_config
Avertizare înainte de a decupla de verificare a parolei de autentificare prin accesibilitate cheie
Conectarea la serverul SSH prin chituri, folosind un certificat.
Pentru a începe, trebuie să convertiți cheia privată (UserName cheie de utilizator), pe care le-am luat anterior de la server.
Pentru aceasta avem nevoie de program PuTTYgen.
Încărcați fișierul „Conversii - Import cheie“ cheie private.
Dacă ați setat o parolă, introduceți-l.
Selectați „tasta Salvare privată“, și stochează fișierul PPK. Păstrați-l în picioare într-un loc unde nu poate fi compromisă.
Deschideți programul stucaturile si configura conexiunea:
Sesiunea - Port Portul specificat în setările de server SSH;
Conexiune - Date - nume de utilizator nume de utilizator Autologin;
Conexiune - SSH - Auth - Fișier cheie privată pentru calea de autentificare pentru fișierul PPK;
Sesiunea - Salvați Salvați sesiunea;
Sesiunea - Sesiunea Salvat (selectați sesiunea noastră) - Load - Deschis - Sesiunea ar trebui să înceapă;
Introduceți parola și apăsați Enter, apoi ajunge în sistem.
În cazul în care un certificat de utilizator a fost compromisă, vom efectua o revizuire a certificatului și a refuza accesul utilizatorului.
Pentru a refuza accesul la gazdele de utilizator USERNAME a de pe certificat, du-te la folderul în care este stocat certificat:
Ștergeți fișierul de authorized_key sale certificatul public cu serverul OpenSSH, dacă nu eliminat din greșeală fișiere id_rsa.pub și id_rsa. scoateți-le. Vizualizarea conținutului unui comando director „ls“.
Ștergeți fișierele necesare:
In exemplul de mai jos, de data aceasta este limitată la 30 de secunde:
Timeoutul în absența activității unui compus.
Conexiuni automate în jos, după un timp în care a înregistrat prin omisiune în consolă.
ClientAliveCountMax - Parametrul indică numărul total de mesaje care sunt trimise ssh-server pentru a recunoaște activitatea ssh-client. Valoarea implicită este 3.
ClientAliveInterval - Parametrul indică timeout în câteva secunde. La expirarea ssh-server trimite un mesaj de solicitare către client. Valoarea implicită pentru acest parametru - 0. Serverul nu trimite un mesaj pentru verificare.
ssh-client se deconecteze automat după 5 minute (300 secunde):