Phenquestions
SSH servera drošības pasākumi ir no pamata līdz papildu līmenim, un, kā mēs teicām iepriekš, jūs varat tos izvēlēties atbilstoši jums vajadzīgajam drošības līmenim. Jūs varat izlaist jebkuru no paredzētajiem pasākumiem, ja jums ir pietiekamas zināšanas par sekām un ja jums ir labas iespējas ar tām cīnīties. Mēs nekad nevaram teikt, ka viens solis nodrošinās 100% drošību, vai arī noteikts solis ir labāks par otru.
Viss ir atkarīgs no tā, kāda veida drošība mums faktiski ir nepieciešama. Tāpēc šodien mēs esam iecerējuši sniegt jums ļoti dziļu ieskatu pamata un papildu darbībās, lai nodrošinātu SSH serveri Ubuntu 20.04. Papildus šīm metodēm mēs ar jums dalīsimies arī ar dažiem papildu padomiem, kā SSH serveri aizsargāt kā bonusu. Tāpēc sāksim ar šodienas interesanto diskusiju.
SSH servera drošības metode Ubuntu 20.04:
Visas SSH konfigurācijas tiek saglabātas failā / etc / ssh / sshd_config. Šis fails tiek uzskatīts par ļoti būtisku jūsu SSH servera normālai darbībai. Tāpēc pirms jebkādu izmaiņu veikšanas šajā failā ir ļoti ieteicams izveidot šī faila dublējumu, izpildot šādu komandu savā terminālā:
sudo cp / etc / ssh / sshd_config / etc / ssh / sshd_config.bak
Ja šī komanda tiek veiksmīgi izpildīta, jums netiks parādīta neviena izeja, kā parādīts zemāk esošajā attēlā:
Pēc šī faila dublējuma izveidošanas šī darbība nav obligāta un tiek veikta, ja vēlaties pārbaudīt visas opcijas, kas pašlaik ir iespējotas šajā konfigurācijas failā. To varat pārbaudīt, izpildot šādu komandu savā terminālā:
Pašreiz iespējotās SSH konfigurācijas faila opcijas ir parādītas zemāk esošajā attēlā. Šajā sarakstā varat ritināt uz leju, lai skatītu visas opcijas.
Tagad jūs varat sākt aizsargāt savu SSH serveri, pārejot no Ubuntu 20 pamata darbībām uz papildu darbībām.04.
Pamata darbības SSH servera drošībai Ubuntu 20.04:
Pamata darbības SSH servera drošībai Ubuntu 20.04 ir šādi:
1. solis: SSH konfigurācijas faila atvēršana:
SSH konfigurācijas failu var atvērt, izpildot komandu, kas norādīta jūsu terminālā:
sudo nano / etc / ssh / sshd_config
SSH konfigurācijas fails ir parādīts šajā attēlā:
2. solis: Ar paroli balstītas autentifikācijas atspējošana:
Tā vietā, lai autentifikācijai izmantotu paroles, SSH atslēgas tiek uzskatītas par drošākām. Tāpēc, ja autentifikācijai esat izveidojis SSH atslēgas, jums ir jāatspējo autentifikācija, kuras pamatā ir parole. Lai to izdarītu, jums jāatrod mainīgais “PasswordAuthentication”, jānoņem komentārs no tā un jāiestata tā vērtība “nē”, kā norādīts zemāk redzamajā attēlā:
3. solis: Tukšu paroļu noraidīšana / noraidīšana:
Dažreiz lietotājiem ir ārkārtīgi ērti izveidot tukšas paroles, lai ietaupītu sevi no sarežģītu paroļu iegaumēšanas. Šī prakse var izrādīties kaitīga jūsu SSH servera drošībai. Tādēļ jums ir jānoraida visi autentifikācijas mēģinājumi ar tukšām parolēm. Lai to izdarītu, jums jāatrod mainīgais “PermitEmptyPasswords” un tas vienkārši jānoņem no komentāra, jo tā vērtība pēc noklusējuma jau ir iestatīta uz “nē”, kā izcelts šajā attēlā:
4. solis: Sakņu pieteikšanās aizliegšana:
Jums ir stingri jāaizliedz root pieteikšanās, lai aizsargātu jebkuru iebrucēju no root līmeņa piekļuves iegūšanas jūsu serverim. To var izdarīt, atrodot mainīgo “PermitRootLogin”, komentējot to un iestatot tā vērtību “nē”, kā norādīts zemāk redzamajā attēlā:
5. solis: SSH 2. protokola izmantošana:
SSH serveris var darboties ar diviem dažādiem protokoliem, t.e., 1. protokols un 2. protokols. 2. protokols ievieš modernākus drošības līdzekļus, tāpēc tam dod priekšroku salīdzinājumā ar 1. protokolu. Tomēr 1. protokols ir SSH noklusējuma protokols, un tas nav tieši minēts SSH konfigurācijas failā. Tādēļ, ja vēlaties strādāt ar protokolu 2, nevis ar 1. protokolu, SSH konfigurācijas failam ir skaidri jāpievieno rinda “Protokols 2”, kā norādīts šajā attēlā:
6. solis: sesijas taimauta iestatīšana:
Dažreiz lietotāji ļoti ilgu laiku atstāj savus datorus bez uzraudzības. Tikmēr jebkurš iebrucējs var nākt klāt un piekļūt jūsu sistēmai, vienlaikus pārkāpjot tās drošību. Šeit parādās sesijas taimauta jēdziens. Šī funkcija tiek izmantota, lai atteiktos no lietotāja, ja viņš ilgu laiku paliek neaktīvs, lai neviens cits lietotājs nevarētu piekļūt viņa sistēmai.
Šo taimautu var iestatīt, atrodot mainīgo “ClientAliveInterval”, komentējot to un piešķirot jebkuru vērtību (sekundēs) pēc jūsu izvēles. Mūsu gadījumā tam esam piešķīruši vērtību “300 sekundes” vai “5 minūtes”. Tas nozīmē, ka, ja lietotājs “300 sekundes” uzturas prom no SSH servera, viņš tiks automātiski atteikts, kā norādīts zemāk redzamajā attēlā:
7. solis: Ļaujiet konkrētiem lietotājiem piekļūt SSH serverim:
SSH serveris nav serveris, kuram piekļuvi pieprasa visi citi lietotāji. Tāpēc tā piekļuve ir jāierobežo tikai tiem lietotājiem, kuriem tā faktiski ir nepieciešama. Lai ļautu konkrētiem lietotājiem piekļūt SSH serverim, SSH konfigurācijas failā jāpievieno mainīgais ar nosaukumu “AllowUsers” un pēc tam jāuzraksta visu to lietotāju vārdi, kuriem vēlaties atļaut piekļuvi SSH serverim, atdalot tos ar atstarpi. Mūsu gadījumā mēs vēlējāmies atļaut tikai vienam lietotājam piekļūt SSH serverim. Tāpēc mēs esam pievienojuši tikai viņa vārdu, kas izcelts šajā attēlā:
8. solis: Autentifikācijas mēģinājumu skaita ierobežošana:
Ikreiz, kad lietotājs mēģina piekļūt serverim un viņš nespēj sevi autentificēt pirmo reizi, viņš mēģina to izdarīt vēlreiz. Lietotājs turpina veikt šos mēģinājumus, kamēr vien viņš veiksmīgi nespēj sevi autentificēt, tādējādi iegūstot piekļuvi SSH serverim. Tas tiek uzskatīts par ļoti nedrošu praksi, jo hakeris var sākt Brute Force Attack (uzbrukums, kas atkārtoti mēģina uzminēt paroli, līdz tiek atrasta pareizā spēle). Rezultātā viņš varēs piekļūt jūsu SSH serverim.
Tāpēc ir ļoti ieteicams ierobežot autentifikācijas mēģinājumu skaitu, lai novērstu paroles uzminēšanas uzbrukumus. SSH servera autentifikācijas mēģinājumu noklusējuma vērtība ir “6”. Tomēr to var mainīt atkarībā no nepieciešamā drošības līmeņa. Lai to izdarītu, jums jāatrod mainīgie “MaxAuthTries”, jāatsauc komentārs un jāiestata tā vērtība uz jebkuru vēlamo skaitli. Mēs vēlējāmies ierobežot autentifikācijas mēģinājumus līdz “3”, kā norādīts zemāk redzamajā attēlā:
9. solis: SSH servera palaišana testa režīmā:
Tagad mēs esam veikuši visus pamata soļus, lai aizsargātu mūsu SSH serveri Ubuntu 20.04. Tomēr mums joprojām ir jāpārliecinās, vai tikko konfigurētās opcijas darbojas pareizi. Šim nolūkam mēs vispirms saglabāsim un aizvērsim konfigurācijas failu. Pēc tam mēs mēģināsim palaist SSH serveri testa režīmā. Ja tas veiksmīgi darbojas testa režīmā, tas nozīmē, ka konfigurācijas failā nav kļūdu. SSH serveri varat palaist testa režīmā, terminālā izpildot šādu komandu:
sudo sshd -t
Kad šī komanda ir veiksmīgi izpildīta, tā terminālā neparādīs nevienu izvadi, kā parādīts zemāk esošajā attēlā. Tomēr, ja konfigurācijas failā būs kādas kļūdas, tad, palaižot šo komandu, šīs kļūdas tiks atveidotas terminālā. Pēc tam jums vajadzēs novērst šīs kļūdas. Tikai tad jūs varēsiet turpināt darbu.
10. solis: SSH servera atkārtota ielāde ar jaunām konfigurācijām:
Kad SSH serveris veiksmīgi darbojās testa režīmā, mums tas jāpārlādē, lai tas varētu nolasīt jauno konfigurācijas failu, t.i.e., izmaiņas, kuras esam veikuši SSH konfigurācijas failā, veicot iepriekš norādītās darbības. Lai atkārtoti ielādētu SSH serveri ar jaunām konfigurācijām, terminālī ir jāizpilda šāda komanda:
sudo pakalpojums sshd pārlādēt
Ja SSH serveris tiek veiksmīgi restartēts, terminālī netiks parādīta neviena izeja, kā parādīts zemāk esošajā attēlā:
Papildu darbības SSH servera drošībai Ubuntu 20.04:
Pēc visu pamata darbību veikšanas SSH servera drošībai Ubuntu 20.04, jūs beidzot varat doties uz papildu soļiem. Tas ir tikai solis uz priekšu, lai aizsargātu jūsu SSH serveri. Tomēr, ja jūs plānojat sasniegt tikai mērenu drošības līmeni, pietiek ar iepriekš aprakstītajām darbībām. Bet, ja vēlaties iet mazliet tālāk, varat veikt tālāk aprakstītās darbības:
1. solis: ~ / atvēršana.ssh / authorised_keys fails:
SSH servera drošības galvenās darbības tiek ieviestas SSH konfigurācijas failā. Tas nozīmē, ka šīs politikas būs piemērotas visiem lietotājiem, kuri mēģinās piekļūt SSH serverim. Tas arī nozīmē, ka pamata darbības ir vispārēja metode SSH servera drošībai. Tomēr, ja mēs mēģināsim apsvērt principu “Aizsardzība dziļumā”, tad mēs sapratīsim, ka mums ir jānodrošina katra atsevišķa SSH atslēga atsevišķi. To var izdarīt, nosakot precīzus drošības parametrus katrai atsevišķai atslēgai. SSH atslēgas tiek glabātas ~ /.ssh / authorised_keys failu, tāpēc mēs vispirms piekļūsim šim failam, lai modificētu drošības parametrus. Mēs piekļūsim šādai komandai terminālā, lai piekļūtu ~ /.ssh / authorised_keys fails:
sudo nano ~ /.ssh / Authorized_keysPalaidot šo komandu, tiks atvērts norādītais fails ar nano redaktoru. Tomēr šī faila atvēršanai varat izmantot arī jebkuru citu izvēlēto teksta redaktoru. Šajā failā būs visas SSH atslēgas, kuras esat izveidojis līdz šim.
2. solis: Īpašu konfigurāciju noteikšana konkrētām atslēgām:
Lai sasniegtu paaugstinātu drošības līmeni, ir pieejamas šādas piecas iespējas:
- bez aģenta pārsūtīšanas
- bez ostas pārsūtīšanas
- no-pty
- no-user-rc
- no-X11-pārsūtīšana
Šīs opcijas var rakstīt pirms jebkuras izvēlētās SSH atslēgas, lai tās būtu pieejamas konkrētajai atslēgai. Vienai SSH atslēgai var konfigurēt arī vairākas opcijas. Piemēram, jūs vēlaties atspējot porta pārsūtīšanu jebkurai konkrētai atslēgai vai, citiem vārdiem sakot, vēlaties ieviest bez porta pārsūtīšanu konkrētai atslēgai, tad sintakse būs šāda:
No-port-forwarding DesiredSSHKeyŠeit, nevis DesiredSSHKey, jums būs faktiskā SSH atslēga jūsu ~ /.ssh / authorised_keys fails. Pēc šo opciju piemērošanas vēlamajām SSH atslēgām jums būs jāsaglabā ~ /.ssh / authorised_keys un aizveriet to. Labi par šo uzlaboto metodi ir tas, ka pēc šo modifikāciju veikšanas nebūs nepieciešams atkārtoti ielādēt SSH serveri. Drīzāk šīs izmaiņas jūsu SSH serveris nolasīs automātiski.
Tādā veidā jūs varēsiet padziļināti aizsargāt katru SSH atslēgu, izmantojot uzlabotos drošības mehānismus.
Daži papildu padomi SSH servera drošībai Ubuntu 20.04:
Bez visiem pamata un papildu soļiem, ko esam veikuši iepriekš, ir arī daži papildu padomi, kas var izrādīties ļoti labi, lai nodrošinātu SSH serveri Ubuntu 20.04. Šie papildu padomi ir apspriesti turpmāk:
Saglabājiet savus datus šifrētos:
Dati, kas atrodas jūsu SSH serverī, kā arī tie, kas paliek nosūtīti, ir jāšifrē un arī ar spēcīgu šifrēšanas algoritmu. Tas ne tikai aizsargās jūsu datu integritāti un konfidencialitāti, bet arī neļaus apdraudēt visa jūsu SSH servera drošību.
Atjauniniet savu programmatūru:
Programmatūrai, kas darbojas jūsu SSH serverī, jābūt atjauninātai. Tas tiek darīts, lai nodrošinātu, ka programmatūras drošības kļūdas nepaliek bez uzraudzības. Drīzāk tos vajadzētu laikus labot. Tas ilgtermiņā ietaupīs jūs no jebkādiem iespējamiem kaitējumiem, kā arī novērsīs servera nolaišanos vai kļūšanu nepieejamu drošības problēmu dēļ.
Pārliecinieties, vai ir iespējota SELinux:
SELinux ir mehānisms, kas liek pamatu drošībai Linux balstītās sistēmās. Tas darbojas, ieviešot obligāto piekļuves kontroli (MAC). Tas ievieš šo piekļuves kontroles modeli, definējot piekļuves noteikumus savā drošības politikā. Šis mehānisms ir iespējots pēc noklusējuma. Tomēr lietotājiem ir atļauts mainīt šo iestatījumu jebkurā laikā. Tas nozīmē, ka viņi var atspējot SELinux, kad vien vēlas. Tomēr ir ļoti ieteicams vienmēr turēt iespējotu SELinux, lai tas varētu novērst jūsu SSH serveri no visām iespējamām kaitēm.
Izmantojiet stingru paroļu politiku:
Ja esat aizsargājis savu SSH serveri ar parolēm, jums jāizveido stingra paroļu politika. Ideālā gadījumā parolēm jābūt garākām par 8 rakstzīmēm. Tie jāmaina pēc noteikta laika, teiksim, pēc ik pēc 2 mēnešiem. Tajos nedrīkst būt neviena vārdnīcas vārda; drīzāk tiem vajadzētu būt alfabētu, skaitļu un īpašo rakstzīmju kombinācijai. Tāpat jūs varat definēt dažus citus stingrus pasākumus paroļu politikām, lai nodrošinātu, ka tās ir pietiekami spēcīgas.
Pārraugiet un uzturiet sava SSH servera audita žurnālus:
Ja ar SSH serveri kaut kas noiet greizi, pirmais palīgs var būt audita žurnāli. Tādēļ jums jāuztur šie žurnāli, lai jūs varētu izsekot problēmas pamatcēlonim. Turklāt, ja jūs pastāvīgi uzraugāt sava SSH servera veselību un darbību, tas arī novērsīs visu galveno problēmu rašanos.
Regulāru datu dublējumu uzturēšana:
Visbeidzot, bet ne mazāk svarīgi, jums vienmēr jāsaglabā visa SSH servera dublējums. Šādi rīkojoties, jūs ne tikai ietaupīsiet datus no sabojāšanas vai pilnīgas pazaudēšanas; drīzāk šo rezerves serveri var izmantot arī ikreiz, kad jūsu galvenais serveris nedarbojas. Tas arī ierobežos servera dīkstāvi un nodrošinās tā pieejamību.
Secinājums:
Rūpējoties par visiem šajā rakstā paredzētajiem pasākumiem, jūs varat viegli aizsargāt vai nostiprināt savu SSH serveri Ubuntu 20.04. Tomēr, ja esat no informācijas drošības fona, jums ir labi jāapzinās šis fakts, ka nav nekā līdzīga 100% drošībai. Viss, ko mēs varam iegūt, ir labākais solījums par centieniem, un šie centieni būs droši tikai līdz laikam, kad tie arī tiks pārkāpti. Tāpēc pat pēc visu šo pasākumu veikšanas jūs nevarat teikt, ka jūsu SSH serveris ir 100% drošs; drīzāk tam joprojām var būt tādas ievainojamības, par kurām jūs pat domāt nevarētu. Par šādām ievainojamībām var rūpēties tikai tad, ja mēs uzmanīgi sekojam savam SSH serverim un turpinām to atjaunināt, kad vien tas ir nepieciešams.
