5 Amalan Keselamatan Terbaik OpenSSH Terbaik
- 4170
- 1236
- Clay Weber
SSH (Secure Shell) adalah protokol rangkaian sumber terbuka yang digunakan untuk menyambungkan pelayan Linux tempatan atau jauh untuk memindahkan fail, membuat sandaran jauh, pelaksanaan arahan jauh, dan tugas berkaitan rangkaian lain melalui arahan SCP atau arahan SFTP antara dua pelayan yang menyambung pada a Saluran selamat melalui rangkaian.
Dalam artikel ini, saya akan menunjukkan kepada anda beberapa alat dan cara mudah yang akan membantu anda mengetatkan keselamatan pelayan SSH anda. Di sini anda akan mendapat beberapa maklumat berguna mengenai cara menjamin dan menghalang pelayan SSH dari kekerasan dan Serangan Kamus.
1. Denyhosts
Denyhosts adalah skrip keselamatan pencegahan pencegahan berasaskan log sumber terbuka untuk pelayan SSH yang ditulis dalam bahasa pengaturcaraan Python yang bertujuan untuk dijalankan oleh pentadbir sistem Linux dan pengguna untuk memantau dan menganalisis log akses pelayan SSH untuk percubaan log masuk gagal mengetahui Serangan berasaskan kamus dan serangan kekerasan.
Skrip berfungsi dengan melarang Ip Alamat selepas sebilangan percubaan masuk yang gagal dan juga menghalang serangan tersebut daripada mendapatkan akses ke pelayan.
Ciri -ciri Denyhosts
- Menjejaki /var/log/selamat untuk mencari semua percubaan log masuk yang berjaya dan gagal dan menapisnya.
- Perhatikan semua percubaan log masuk yang gagal oleh pengguna dan tuan rumah yang menyinggung perasaan.
- Terus menonton pada setiap pengguna yang sedia ada dan tidak wujud (misalnya. XYZ) Apabila percubaan masuk gagal.
- Menjejaki setiap pengguna yang menyinggung, tuan rumah, dan percubaan log masuk yang mencurigakan (jika beberapa kegagalan log masuk) mengharamkan tuan rumah itu Ip alamat dengan menambahkan entri di /etc/hos.menafikan fail.
- Pilihan menghantar pemberitahuan e -mel kepada tuan rumah yang baru disekat dan log masuk yang mencurigakan.
- Juga mengekalkan semua percubaan log masuk pengguna yang sah dan tidak sah dalam fail berasingan supaya ia memudahkan untuk mengenal pasti pengguna yang sah atau tidak sah yang diserang. Oleh itu, kita boleh memadamkan akaun itu atau menukar kata laluan, atau melumpuhkan shell untuk pengguna itu.
[Anda mungkin juga suka: Cara menyekat serangan kekerasan SSH menggunakan Denyhosts]
2. Gagal2ban
Gagal2ban adalah salah satu pencerobohan sumber terbuka yang paling popular Pengesanan/pencegahan rangka kerja yang ditulis dalam a python bahasa pengaturcaraan. Ia beroperasi dengan mengimbas fail log seperti /var/log/selamat, /var/log/auth.log, /var/log/pwdfail dan lain-lain. kerana terlalu banyak percubaan log masuk yang gagal.
Fail2ban digunakan untuk mengemas kini Netfilter/iptables atau pembungkus TCP tuan rumah.menafikan fail, untuk menolak penyerang Ip Alamat untuk jumlah masa yang ditetapkan. Ia juga mempunyai keupayaan untuk melepaskan alamat IP yang disekat untuk tempoh masa tertentu yang ditetapkan oleh pentadbir. Walau bagaimanapun, minit tertentu yang tidak dapat dibatalkan adalah lebih daripada cukup untuk menghentikan serangan yang berniat jahat.
Ciri -ciri Fail2Ban
- Multi-threaded dan Sangat boleh dikonfigurasikan.
- Sokongan untuk putaran fail log dan boleh mengendalikan pelbagai perkhidmatan seperti (SSHD, vsftpd, Apache, dan lain-lain).
- Memantau fail log dan cari corak yang diketahui dan tidak diketahui.
- Penggunaan Netfilter/iptables dan TCP Wrapper (/etc/hos.menafikan) jadual untuk mengharamkan penyerang ip.
- Menjalankan skrip apabila corak yang diberikan telah dikenalpasti untuk alamat IP yang sama lebih daripada X kali.
[Anda mungkin juga suka: Cara Menggunakan Fail2Ban Untuk Mengamankan Pelayan Linux Anda]
3. Lumpuhkan log masuk root
Secara lalai sistem linux pra-konfigurasi untuk membolehkan log masuk jauh SSH untuk semua orang termasuk akar Pengguna sendiri, yang membolehkan semua orang terus log masuk ke sistem dan mendapatkan akses root. Walaupun pelayan SSH membenarkan cara yang lebih selamat untuk Lumpuhkan atau membolehkan log masuk root, selalu merupakan idea yang baik untuk melumpuhkan akses root, menjaga pelayan sedikit lebih selamat.
Terdapat begitu banyak orang yang cuba mengalahkan akaun akar melalui Serangan SSH dengan hanya membekalkan nama dan kata laluan akaun yang berbeza, satu demi satu. Sekiranya anda seorang pentadbir sistem, anda boleh menyemak log pelayan SSH, di mana anda akan menemui beberapa percubaan log masuk yang gagal. Sebab utama di sebalik beberapa percubaan log masuk yang gagal adalah kata laluan yang cukup lemah dan yang masuk akal untuk penggodam/penyerang untuk mencuba.
Sekiranya anda mempunyai kata laluan yang kuat, maka anda mungkin selamat, bagaimanapun, lebih baik melumpuhkan log masuk root dan mempunyai akaun berasingan yang tetap untuk log masuk, dan kemudian gunakan sudo atau su untuk mendapatkan akses akar bila diperlukan.
[Anda mungkin juga suka: Bagaimana untuk melumpuhkan log masuk akar SSH dan hadkan akses SSH di Linux]
4. Paparkan spanduk SSH
Ini adalah salah satu ciri tertua yang tersedia dari awal Projek SSH, Tetapi saya tidak pernah melihatnya digunakan oleh sesiapa sahaja. Bagaimanapun, saya rasa ia adalah ciri penting dan sangat berguna yang saya gunakan untuk semua pelayan Linux saya.
Ini bukan untuk tujuan keselamatan, tetapi manfaat terbesar dari spanduk ini adalah bahawa ia digunakan untuk memaparkan SSH mesej amaran ke Tidak diberi kuasa Akses dan mesej selamat datang kepada pengguna yang diberi kuasa sebelum kata laluan segera dan selepas pengguna log masuk.
[Anda mungkin juga suka: Cara Melindungi Log masuk SSH dengan Mesej Banner SSH & MOTD]
5. Log masuk tanpa kata laluan SSH
An SSH Kata Laluan-Less Login dengan SSH Keygen akan mewujudkan hubungan amanah antara dua Pelayan Linux yang membuat pemindahan fail dan Penyegerakan lebih mudah.
Ini sangat berguna jika anda berurusan dengan sandaran automatik jauh, pelaksanaan skrip jauh, pemindahan fail, pengurusan skrip jauh, dan lain -lain tanpa memasukkan kata laluan setiap kali.
[Anda mungkin juga suka: Cara Menyiapkan SSH Kata Laluan Login di Linux [3 Langkah Mudah]]
Untuk terus menjamin pelayan SSH anda, baca artikel kami tentang cara menjamin dan mengeras pelayan Openssh