Giunsa ang Pagsiguro ug Pagtig-a sa OpenSSH Server

Kung bahin sa pag-access sa mga hilit nga aparato sama sa mga server, mga router, ug mga switch, ang SSH protocol moabut nga girekomenda nga gihatagan ang abilidad sa pag-encrypt sa trapiko ug pugngan ang bisan kinsa nga mahimong mosulay sa pag-eavesdrop sa imong mga koneksyon.

Bisan pa, ang mga default nga setting sa SSH dili masayop ug kinahanglan ang dugang nga pag-tweak aron mahimo ang protocol nga labi ka luwas. Niini nga giya, among gisusi ang lainlaing mga paagi nga imong magamit aron masiguro ug matig-a ang pag-install sa OpenSSH sa server.

1. I-setup ang SSH Passwordless Authentication

Sa kasagaran, ang SSH nagkinahanglan sa mga tiggamit sa paghatag sa ilang mga password sa pag-log in. Apan ania ang butang: ang mga hacker makatag-an sa mga password o bisan sa paghimo sa usa ka brute force nga pag-atake gamit ang espesyal nga mga himan sa pag-hack ug makaangkon og access sa imong sistema. Aron sa luwas nga bahin, ang paggamit sa SSH passwordless authentication gidasig kaayo.

Ang unang lakang mao ang pagmugna og SSH key-pair nga naglangkob sa public key ug private key. Ang pribado nga yawe anaa sa imong host system samtang ang publiko nga yawe gikopya sa layo nga server.

Kung malampuson nga makopya ang yawe sa publiko, mahimo ka na nga mag-SSH sa hilit nga server nga hapsay nga wala’y kinahanglan maghatag password.

Ang sunod nga lakang mao ang pag-disable sa password authentication, Aron makab-ot kini, kinahanglan nimo nga usbon ang SSH configuration file.

$ sudo vim /etc/ssh/sshd_config

Sa sulod sa configuration file, pag-scroll ug pangitaa ang mosunod nga direktiba. Uncomment ug usba ang opsyon yes ngadto sa no

PasswordAuthentication no

Unya i-restart ang SSH daemon.

# sudo systemctl restart sshd

Niini nga punto, ikaw adunay access lamang sa hilit nga server gamit ang SSH key authentication.

2. I-disable ang User SSH Passwordless Connection Requests

Ang laing girekomendar nga paagi sa pagpalig-on sa seguridad sa imong server mao ang pag-disable sa SSH logins gikan sa mga user nga walay password. Morag katingad-an kini apan usahay ang mga tigdumala sa sistema makahimo og mga account sa gumagamit ug makalimot sa pag-assign sa mga password - nga usa ka dili maayo nga ideya.

Aron isalikway ang mga hangyo gikan sa mga tiggamit nga walay password, pag-usab, adto sa configuration file sa /etc/ssh/sshd_config ug siguroha nga ikaw adunay direktiba sa ubos:

PermitEmptyPasswords no

Unya i-restart ang serbisyo sa SSH alang sa pagbag-o nga mahimo.

$ sudo systemctl restart sshd

3. I-disable ang SSH Root Logins

Wala'y utok kung unsa ang mahitabo kung ang usa ka hacker makahimo sa pagpugos sa imong root password. Ang pagtugot sa hilit nga pag-login sa gamut kanunay usa ka dili maayo nga ideya nga mahimong makadaot sa seguridad sa imong sistema.

Tungod niini nga hinungdan, kanunay nga girekomenda nga imong i-disable ang SSH remote root login ug imbes magpabilin sa usa ka regular nga non-root user. Sa makausa pa, adto sa configuration file ug usba kini nga linya sama sa gipakita.

PermitRootLogin no

Kung nahuman na ka, i-restart ang serbisyo sa SSH alang sa pagbag-o nga mahimo.

$ sudo systemctl restart sshd

Sukad niadto, ang remote root login ma-deactivate.

4. Gamita ang SSH Protocol 2

Ang SSH adunay duha ka bersyon: SSH protocol 1 ug protocol 2. Ang SSH protocol 2 gipaila niadtong 2006 ug mas luwas kay sa protocol 1 salamat sa lig-on nga cryptographic checks, bulk encryption ug lig-on nga mga algorithm.

Sa default, ang SSH naggamit sa protocol 1. Aron mausab kini sa mas luwas nga Protocol 2, idugang ang linya sa ubos sa configuration file:

Protocol 2

Sama sa naandan, i-restart ang SSH aron matuman ang mga pagbag-o.

$ sudo systemctl restart sshd

Sa unahan, ang SSH mogamit sa Protocol 2 nga default.

Aron masulayan kung ang SSH protocol 1 gisuportahan pa, padagana ang mando:

$ ssh -1 [email 

Makakuha ka og sayop nga mabasa nga \SSH protocol v.1 is no longer supported.

Sa kini nga kaso, ang mando mao ang:

$ ssh -1 [email 

Dugang pa, mahimo nimong ipiho ang -2 tag aron lang masiguro nga ang Protocol 2 mao ang default nga protocol nga gigamit.

$ ssh -2 [email 

5. Itakda ang SSH Connection Timeout Idle Value

Ang pagbiya sa imong PC nga wala maatiman sulod sa taas nga mga yugto sa panahon nga adunay walay pulos nga koneksyon sa SSH mahimong magbutang ug peligro sa seguridad. Adunay mahimo nga moagi ug mopuli sa imong sesyon sa SSH ug buhaton ang bisan unsa nga gusto nila. Aron matubag ang isyu, mabinantayon, busa, ang pagbutang usa ka wala’y mahimo nga limitasyon sa oras nga kung molapas, ang sesyon sa SSH sirado.

Sa makausa pa, ablihi ang imong SSH configuration file ug pangitaa ang direktiba nga ClientAliveInterval. Ihatag ang usa ka makatarunganon nga kantidad, pananglitan, akong gibutang ang limitasyon sa 180 segundos.

ClientAliveInterval 180

Kini nagpasabot nga ang SSH session ipaubos kung walay aktibidad nga marehistro human sa 3 minutos nga katumbas sa 180 segundos.

Unya i-restart ang SSH daemon aron ma-epekto ang mga pagbag-o nga gihimo.

$ sudo systemctl restart sshd

6. Limitahi ang SSH Access sa Piho nga mga Gumagamit

Alang sa usa ka dugang nga layer sa seguridad, mahimo nimong ipasabut ang mga tiggamit nga nanginahanglan sa protocol sa SSH nga mag-log in ug maghimo mga hilit nga buluhaton sa sistema. Gipugngan niini ang bisan unsang ubang mga tiggamit nga mahimong mosulay sa pagsulod sa imong sistema nga wala ang imong pagtugot.

Sama sa kanunay, ablihi ang configuration file ug idugang ang direktiba nga AllowUsers nga gisundan sa mga ngalan sa mga tiggamit nga gusto nimong ihatag. Sa pananglitan sa ubos, gitugotan nako ang mga tiggamit nga 'tecmint' ug 'james' nga adunay hilit nga pag-access sa sistema pinaagi sa SSH. Ang bisan kinsa nga tiggamit nga mosulay sa pagkuha sa hilit nga pag-access ma-block.

AllowUsers tecmint james

Pagkahuman i-restart ang SSH aron magpadayon ang mga pagbag-o.

$ sudo systemctl restart sshd

7. Pag-configure og Limitasyon alang sa Pagsulay sa Password

Ang laing paagi nga mahimo nimong idugang ang usa ka layer sa seguridad mao ang paglimite sa gidaghanon sa mga pagsulay sa pag-login sa SSH ingon nga pagkahuman sa daghang napakyas nga pagsulay, ang koneksyon nahulog. Busa sa makausa pa adto sa configuration file ug pangitaa ang \MaxAuthTries nga direktiba ug itakda ang usa ka bili alang sa maximum nga gidaghanon sa mga pagsulay.

Sa kini nga pananglitan, ang limitasyon gitakda sa 3 nga pagsulay sama sa gipakita.

MaxAuthTries 3

Ug sa katapusan, i-restart ang serbisyo sa SSH sama sa miaging mga senaryo.

Mahimo usab nimo nga makit-an kining mosunod nga mga artikulo nga may kalabutan sa SSH nga mapuslanon:

  • Unsaon Pag-instalar sa OpenSSH 8.0 Server gikan sa Tinubdan sa Linux
  • Unsaon pag-instalar sa Fail2Ban aron mapanalipdan ang SSH sa CentOS/RHEL 8
  • Unsaon Pag-ilis sa SSH Port sa Linux
  • Unsaon Paghimo sa SSH Tunneling o Port Forwarding sa Linux
  • 4 nga Paagi sa Pagpadali sa SSH Connections sa Linux
  • Unsaon Pangitaa ang Tanang Napakyas nga Pagsulay sa pag-login sa SSH sa Linux
  • Unsaon Pagdiskonekta sa Dili Aktibo o Idle SSH Connections sa Linux

Usa kadto ka roundup sa pipila ka mga lakang nga imong mahimo aron ma-secure ang imong SSH remote connections. Mahinungdanon nga idugang nga kinahanglan nimo kanunay nga maghatag lig-on nga mga password sa mga tiggamit nga adunay layo nga pag-access aron mapugngan ang mga pag-atake nga kusog nga kusog. Kami nanghinaut nga nakita nimo kini nga giya nga makahuluganon. Ang imong feedback kay welcome kaayo.