Mbinu 5 Bora za Usalama za Seva ya OpenSSH


SSH (Secure Shell) ni itifaki ya mtandao wa chanzo-wazi ambayo hutumiwa kuunganisha seva za Linux za ndani au za mbali ili kuhamisha faili, kufanya nakala za mbali, utekelezaji wa amri ya kijijini, na kazi nyingine zinazohusiana na mtandao kupitia sftp amri kati ya seva mbili zinazounganishwa kwenye mtandao. njia salama kwenye mtandao.

Katika nakala hii, nitakuonyesha zana na hila rahisi ambazo zitakusaidia kukaza usalama wa seva yako ya ssh. Hapa utapata taarifa muhimu kuhusu jinsi ya kulinda na kuzuia seva za ssh dhidi ya mashambulizi ya nguvu na kamusi.

1. DenyHosts

DenyHosts ni hati ya usalama ya uzuiaji wa kuingilia kwa msingi wa kumbukumbu ya chanzo-wazi kwa seva za SSH ambayo iliandikwa kwa lugha ya programu ya chatu ambayo inakusudiwa kuendeshwa na wasimamizi wa mfumo wa Linux na watumiaji kufuatilia na kuchambua kumbukumbu za ufikiaji wa seva ya SSH kwa majaribio yasiyofanikiwa ya kuingia. mashambulizi ya msingi wa kamusi na mashambulizi ya nguvu ya kikatili.

Hati hufanya kazi kwa kupiga marufuku anwani za IP baada ya idadi fulani ya majaribio ya kuingia ambayo hayakufaulu na pia kuzuia mashambulizi kama hayo kupata ufikiaji wa seva.

  • Hufuatilia /var/log/secure ili kupata majaribio yote ya kuingia yaliyofaulu na kushindwa na kuyachuja.
  • Huangalia majaribio yote ya kuingia yaliyofeli ya mtumiaji na seva pangishi inayokosea.
  • Huendelea kutazama kila mtumiaji aliyepo na asiyekuwepo (km. xyz) wakati jaribio la kuingia liliposhindwa.
  • Hufuatilia kila mtumiaji anayekosea, mpangishi, na majaribio yanayotiliwa shaka ya kuingia (Ikiwa idadi ya hitilafu za kuingia) hupiga marufuku anwani ya IP inayopangisha kwa kuongeza ingizo katika faili ya /etc/hosts.deny.
  • Hutuma arifa ya barua pepe ya wapangishi wapya waliozuiwa na watu wanaotiliwa shaka kuingia katika akaunti.
  • Pia hudumisha majaribio yote halali na yasiyo sahihi ya kuingia kwa mtumiaji katika faili tofauti ili iwe rahisi kutambua ni mtumiaji gani halali au batili anashambuliwa. Ili tuweze kufuta akaunti hiyo au kubadilisha nenosiri, au kuzima shell kwa mtumiaji huyo.

[ Unaweza pia kupenda: Jinsi ya Kuzuia Mashambulizi ya Nguvu ya SSH kwa Kutumia DenyHosts ]

2. Fail2Ban

Fail2ban ni mojawapo ya mifumo maarufu ya ugunduzi/uzuiaji wa chanzo huria iliyoandikwa kwa lugha ya programu ya chatu. Inafanya kazi kwa kuchanganua faili za kumbukumbu kama vile /var/log/secure, /var/log/auth.log, /var/log/pwdfail n.k. kwa majaribio mengi sana ya kuingia ambayo hayakufaulu.

Fail2ban inatumika kusasisha Netfilter/iptables au faili ya host.deny ya TCP Wrapper, ili kukataa anwani ya IP ya mshambulizi kwa muda fulani. Pia ina uwezo wa kuondoa marufuku kwa anwani ya IP iliyozuiwa kwa muda fulani uliowekwa na wasimamizi. Hata hivyo, dakika fulani ya kufuta marufuku inatosha zaidi kukomesha mashambulizi hayo mabaya.

  • Nyezi-nyingi na inaweza kusanidiwa sana.
  • Usaidizi wa kuzungusha faili za kumbukumbu na inaweza kushughulikia huduma nyingi kama (sshd, vsftpd, apache, n.k).
  • Hufuatilia faili za kumbukumbu na kutafuta ruwaza zinazojulikana na zisizojulikana.
  • Hutumia jedwali la Netfilter/Iptables na TCP Wrapper (/etc/hosts.deny) ili kupiga marufuku IP ya wavamizi.
  • Huendesha hati wakati muundo fulani umetambuliwa kwa anwani sawa ya IP zaidi ya mara X.

[ Unaweza pia kupenda: Jinsi ya Kutumia Fail2ban Kulinda Seva Yako ya Linux ]

3. Zima Kuingia kwa Mizizi

Kwa chaguo-msingi mifumo ya Linux imesanidiwa awali ili kuruhusu kuingia kwa mbali kwa ssh kwa kila mtu ikiwa ni pamoja na mtumiaji wa mizizi yenyewe, ambayo inaruhusu kila mtu kuingia moja kwa moja kwenye mfumo na kupata ufikiaji wa mizizi. Licha ya ukweli kwamba seva ya ssh inaruhusu njia salama zaidi ya kuzima au kuwezesha kuingia kwa mizizi, daima ni wazo nzuri kuzima ufikiaji wa mizizi, kuweka seva salama zaidi.

Kuna watu wengi wanaojaribu kulazimisha akaunti za mizizi kwa nguvu kupitia mashambulizi ya SSH kwa kutoa tu majina tofauti ya akaunti na nywila, moja baada ya nyingine. Ikiwa wewe ni msimamizi wa mfumo, unaweza kuangalia kumbukumbu za seva za ssh, ambapo utapata idadi ya majaribio yaliyoshindwa ya kuingia. Sababu kuu ya majaribio kadhaa ya kuingia ambayo hayakufaulu ni kuwa na manenosiri dhaifu ya kutosha na hiyo inaleta maana kwa wadukuzi/wavamizi kujaribu.

Ikiwa una nenosiri dhabiti, basi labda uko salama, hata hivyo, ni bora kuzima kuingia kwa mizizi na kuwa na akaunti tofauti ya kawaida ya kuingia, na kisha utumie sudo au su kupata ufikiaji wa mizizi wakati wowote inapohitajika.

[Unaweza pia kupenda: Jinsi ya Kuzima Kuingia kwa Mizizi ya SSH na Kupunguza Ufikiaji wa SSH katika Linux]

4. Onyesha Bango la SSH

Hii ni moja wapo ya huduma kongwe inayopatikana tangu mwanzo wa mradi wa ssh, lakini sijaona inatumiwa na mtu yeyote. Hata hivyo, ninahisi ni kipengele muhimu na muhimu sana ambacho nimetumia kwa seva zangu zote za Linux.

Hii si kwa madhumuni yoyote ya usalama, lakini faida kubwa ya bango hili ni kwamba inatumika kuonyesha ujumbe wa onyo wa ssh kwa ufikiaji ulioidhinishwa na UN na ujumbe wa kukaribisha kwa watumiaji walioidhinishwa kabla ya swali la nenosiri na baada ya mtumiaji kuingia.

[ Unaweza pia kupenda: Jinsi ya Kulinda Kuingia kwa SSH kwa SSH & Ujumbe wa Bango la MOTD ]

5. Kuingia bila Neno la siri kwa SSH

Kuingia bila Nenosiri la SSH kwa kutumia keygen ya SSH kutaanzisha uhusiano wa kuaminiana kati ya seva mbili za Linux ambayo hurahisisha uhamishaji wa faili na ulandanishi.

Hii ni muhimu sana ikiwa unashughulika na hifadhi rudufu za kiotomatiki za mbali, utekelezaji wa hati za mbali, uhamishaji wa faili, udhibiti wa hati ya mbali, n.k bila kuingiza nenosiri kila wakati.

[ Unaweza pia kupenda: Jinsi ya Kusanidi Kuingia Bila Nenosiri kwa SSH kwenye Linux [Hatua 3 Rahisi] ]

Ili kupata seva yako ya SSH zaidi, soma nakala yetu juu ya Jinsi ya Kulinda na Kuimarisha Seva ya OpenSSH