5 bestu OpenSSH netþjónarnir bestu öryggisvenjur


SSH (Secure Shell) er opinn uppspretta netsamskiptareglur sem er notaður til að tengja staðbundna eða ytri Linux netþjóna til að flytja skrár, gera fjarafrit, keyra fjarskipana og önnur nettengd verkefni með sftp skipun milli tveggja netþjóna sem tengjast á a örugg rás yfir netið.

Í þessari grein mun ég sýna þér nokkur einföld verkfæri og brellur sem hjálpa þér að herða öryggi ssh netþjónsins. Hér finnur þú nokkrar gagnlegar upplýsingar um hvernig á að tryggja og koma í veg fyrir að ssh netþjónar verði fyrir brute force og orðabókarárásum.

1. DenyHosts

DenyHosts er opinn uppspretta log-undirstaða innbrotsöryggishandrit fyrir SSH netþjóna sem var skrifað á python forritunarmáli sem ætlað er að keyra af Linux kerfisstjórum og notendum til að fylgjast með og greina aðgangsskrár SSH netþjóna fyrir misheppnaðar innskráningartilraunir. orðabók byggðar árásir og brute force árásir.

Handritið virkar með því að banna IP tölur eftir ákveðinn fjölda misheppnaðra innskráningartilrauna og kemur einnig í veg fyrir að slíkar árásir fái aðgang að þjóninum.

  • Heldur utan um /var/log/secure til að finna allar heppnaðar og misheppnaðar innskráningartilraunir og síar þær.
  • Fylgist með öllum misheppnuðum innskráningartilraunum notandans og hýsilsins sem móðgast.
  • Heldur áfram að fylgjast með hverjum notanda sem er til staðar og sem er ekki til (td xyz) þegar misheppnuð innskráning reynir.
  • Heldur utan um hvern móðgandi notanda, gestgjafa og grunsamlega innskráningartilraunir (ef fjöldi innskráningar mistakast) bannar þá hýsingu IP tölu með því að bæta við færslu í /etc/hosts.deny skránni.
  • Sendir mögulega tölvupósttilkynningu um nýlega lokaða gestgjafa og grunsamlegar innskráningar.
  • Heldur einnig öllum gildum og ógildum misheppnuðum innskráningartilraunum notenda í aðskildum skrám svo að auðvelt sé að bera kennsl á hvaða gilda eða ógilda notanda er undir árás. Svo að við getum eytt þessum reikningi eða breytt lykilorðinu eða slökkt á skel fyrir þann notanda.

[Þér gæti líka líkað við: Hvernig á að loka á SSH Brute Force árásir með DenyHosts]

2. Fail2Ban

Fail2ban er einn vinsælasti opinn uppspretta innbrotsskynjun/forvarnir rammi skrifaður á python forritunarmáli. Það starfar með því að skanna annálaskrár eins og /var/log/secure, /var/log/auth.log, /var/log/pwdfail o.s.frv. fyrir of margar misheppnaðar innskráningartilraunir.

Fail2ban er notað til að uppfæra Netfilter/iptables eða hosts.deny skrá TCP Wrapper, til að hafna IP tölu árásaraðila í ákveðinn tíma. Það hefur einnig getu til að opna lokaða IP tölu í ákveðinn tíma sem stjórnendur setja. Hins vegar er ákveðin mínúta af afbannun meira en nóg til að stöðva slíkar illgjarnar árásir.

  • Margþráður og mjög stillanleg.
  • Stuðningur við snúning annálaskráa og getur séð um margar þjónustur eins og (sshd, vsftpd, apache, osfrv.).
  • Fylgist með annálaskrám og leitar að þekktum og óþekktum mynstrum.
  • Notar Netfilter/Iptables og TCP Wrapper (/etc/hosts.deny) töflu til að banna IP árásarmanna.
  • Keyrar forskriftir þegar tiltekið mynstur hefur verið auðkennt fyrir sömu IP tölu oftar en X sinnum.

[Þér gæti líka líkað við: Hvernig á að nota Fail2ban til að tryggja Linux netþjóninn þinn ]

3. Slökktu á Root Login

Sjálfgefið er að Linux kerfi séu forstillt til að leyfa ssh fjarinnskráningu fyrir alla, þar með talið rótnotandann sjálfan, sem gerir öllum kleift að skrá sig beint inn í kerfið og fá rótaraðgang. Þrátt fyrir þá staðreynd að ssh netþjónn leyfir öruggari leið til að slökkva á eða virkja rótarinnskráningu, þá er alltaf góð hugmynd að slökkva á rótaraðgangi og halda netþjónum aðeins öruggari.

Það eru svo margir sem reyna að neyða rótarreikninga með SSH árásum með því einfaldlega að gefa upp mismunandi reikningsnöfn og lykilorð, hvert á eftir öðru. Ef þú ert kerfisstjóri geturðu athugað ssh server logs, þar sem þú finnur fjölda misheppnaðra innskráningartilrauna. Aðalástæðan á bak við fjölda misheppnaðra innskráningartilrauna er að hafa nógu veik lykilorð og það er skynsamlegt fyrir tölvuþrjóta/árásarmenn að reyna.

Ef þú ert með sterk lykilorð, þá ertu líklega öruggur, hins vegar er betra að slökkva á rótarinnskráningu og hafa venjulegan sérstakan reikning til að skrá þig inn á og nota síðan sudo eða su til að fá rótaraðgang hvenær sem þess er þörf.

[Þér gæti líka líkað við: Hvernig á að slökkva á SSH rótarinnskráningu og takmarka SSH aðgang í Linux]

4. Birta SSH borða

Þetta er einn af elstu eiginleikum sem til eru frá upphafi ssh verkefnisins, en ég hef varla séð það notað af neinum. Engu að síður, mér finnst það mikilvægur og mjög gagnlegur eiginleiki sem ég hef notað fyrir alla Linux netþjóna mína.

Þetta er ekki í neinum öryggistilgangi, en mesti ávinningurinn af þessum borða er sá að hann er notaður til að birta ssh viðvörunarskilaboð til SÞ viðurkenndra aðgangs og velkomin skilaboð til viðurkenndra notenda áður en lykilorðið er beðið og eftir að notandinn hefur skráð sig inn.

[Þér gæti líka líkað við: Hvernig á að vernda SSH innskráningar með SSH & MOTD borðaskilaboðum]

5. SSH lykilorðslaus innskráning

SSH lykilorðslaus innskráning með SSH keygen mun koma á traustssambandi milli tveggja Linux netþjóna sem gerir skráaflutning og samstillingu mun auðveldari.

Þetta er mjög gagnlegt ef þú ert að fást við fjarstýrð sjálfvirk afrit, fjarstýringu forskriftaframkvæmd, skráaflutning, fjarstýringu forskrifta osfrv. án þess að slá inn lykilorðið í hvert skipti.

[Þér gæti líka líkað við: Hvernig á að setja upp SSH lykilorðslausa innskráningu í Linux [3 auðveld skref] ]

Til að tryggja enn frekar SSH netþjóninn þinn skaltu lesa grein okkar um hvernig á að tryggja og herða OpenSSH netþjón