5 Labing Maayo nga OpenSSH Server Labing Maayo nga Mga Praktis sa Seguridad

Ang SSH (Secure Shell) usa ka open-source network protocol nga gigamit sa pagkonektar sa lokal o hilit nga mga server sa Linux aron sa pagbalhin sa mga file, paghimo og mga remote backup, remote command execution, ug uban pang network-related nga mga buluhaton pinaagi sa sftp command tali sa duha ka server nga nagkonektar sa usa ka luwas nga channel sa network.

Niini nga artikulo, ipakita ko kanimo ang pipila ka yano nga mga himan ug mga limbong nga makatabang kanimo nga higpitan ang imong seguridad sa ssh server. Dinhi makit-an nimo ang pipila ka mapuslanon nga kasayuran kung giunsa ang pagsiguro ug pagpugong sa mga ssh server gikan sa brute force ug pag-atake sa diksyonaryo.

1. DenyHosts

Ang DenyHosts usa ka open-source log-based intrusion prevention security script alang sa SSH servers nga gisulat sa usa ka python programming language nga gituyo nga ipadagan sa Linux system administrators ug users aron sa pagmonitor ug pag-analisar sa SSH server access logs para sa napakyas nga mga pagsulay sa pag-login. mga pag-atake nga nakabase sa diksyonaryo ug mga pag-atake sa brute force.

Ang script naglihok pinaagi sa pagdili sa mga IP address pagkahuman sa usa ka set nga gidaghanon sa napakyas nga mga pagsulay sa pag-login ug gipugngan usab ang ingon nga mga pag-atake sa pag-access sa server.

  • Nagsubay sa /var/log/secure aron makit-an ang tanang malampuson ug napakyas nga mga pagsulay sa pag-login ug gisala kini.
  • Bantayi ang tanang napakyas nga pagsulay sa pag-log in sa user ug nakasala nga host.
  • Nagpadayon sa pagtan-aw sa matag anaa ug wala nga tiggamit (eg. xyz) kung ang usa ka napakyas nga pagsulay sa pag-login.
  • Gibantayan ang matag nakasala nga user, host, ug kadudahang mga pagsulay sa pag-login (Kung daghang mga kapakyasan sa pag-login) nagdili sa kana nga host IP address pinaagi sa pagdugang usa ka entry sa /etc/hosts.deny file.
  • Opsyonal nga magpadala ug email nga abiso sa bag-ong gibabagan nga mga host ug kadudahan nga mga login.
  • Gipadayon usab ang tanan nga balido ug dili balido nga napakyas nga pagsulay sa pag-login sa gumagamit sa lainlain nga mga file aron kini dali nga mahibal-an kung unsang balido o dili balido nga tiggamit ang giatake. Busa, nga atong mapapas kana nga account o usbon ang password, o i-disable ang shell para sa maong user.

[ Tingali ganahan ka usab: Unsaon Pag-block sa SSH Brute Force Attacks Gamit ang DenyHosts ]

2. Fail2Ban

Ang Fail2ban maoy usa sa pinakasikat nga open-source intrusion detection/prevention frameworks nga gisulat sa python programming language. Naglihok kini pinaagi sa pag-scan sa mga file sa log sama sa /var/log/secure, /var/log/auth.log, /var/log/pwdfail ug uban pa alang sa daghang napakyas nga pagsulay sa pag-login.

Ang Fail2ban gigamit sa pag-update sa Netfilter/iptables o TCP Wrapper's hosts.deny file, aron isalikway ang IP address sa tig-atake sulod sa gitakdang oras. Kini usab adunay katakus sa pag-unban sa usa ka gibabagan nga IP address sa usa ka piho nga yugto sa oras nga gitakda sa mga administrador. Bisan pa, ang usa ka minuto sa pag-unban labi pa sa igo aron mapahunong ang ingon nga mga malisyosong pag-atake.

  • Multi-threaded ug Highly configurable.
  • Suporta sa rotation sa log files ug makadumala sa daghang serbisyo sama sa (sshd, vsftpd, apache, etc).
  • I-monitor ang mga log file ug pangitaon ang nahibal-an ug wala mailhi nga mga pattern.
  • Naggamit sa Netfilter/Iptables ug TCP Wrapper (/etc/hosts.deny) nga lamesa aron i-ban ang mga tig-atake nga IP.
  • Nagpadagan sa mga script kung ang usa ka gihatag nga sumbanan nahibal-an alang sa parehas nga IP adres labaw sa X ka beses.

[ Tingali ganahan ka usab: Giunsa Paggamit ang Fail2ban aron Masiguro ang Imong Linux Server ]

3. I-disable ang Root Login

Sa kasagaran ang mga sistema sa Linux gi-pre-configure aron tugotan ang ssh remote logins alang sa tanan lakip na ang root user mismo, nga nagtugot sa tanan nga direktang mag-log in sa sistema ug makakuha og root access. Bisan pa sa kamatuoran nga ang ssh server nagtugot sa usa ka mas luwas nga paagi sa pag-disable o pagpagana sa root logins, kini kanunay nga usa ka maayong ideya sa pag-disable sa root access, sa paghimo sa mga server nga mas luwas.

Adunay daghan kaayo nga mga tawo nga naningkamot sa brute force root accounts pinaagi sa SSH nga pag-atake pinaagi lamang sa paghatag sa lain-laing mga ngalan sa account ug mga password, sa usag usa. Kung ikaw usa ka tagdumala sa sistema, mahimo nimong susihon ang mga log sa ssh server, diin makit-an nimo ang daghang mga napakyas nga pagsulay sa pag-login. Ang panguna nga hinungdan sa luyo sa daghang napakyas nga pagsulay sa pag-login mao ang adunay huyang nga igo nga mga password ug kana makatarunganon nga sulayan sa mga hacker/attacker.

Kung ikaw adunay lig-on nga mga password, nan tingali luwas ka, bisan pa, mas maayo nga i-disable ang root login ug adunay usa ka regular nga separado nga account aron maka-log in, ug dayon gamita ang sudo o su aron makakuha og root access kung gikinahanglan.

[ Tingali ganahan ka usab: Giunsa Pag-disable ang SSH Root Login ug Limitahan ang SSH Access sa Linux ]

4. Ipakita ang SSH Banner

Kini usa sa labing karaan nga mga bahin nga magamit gikan sa sinugdanan sa ssh nga proyekto, apan halos wala nako makita nga kini gigamit ni bisan kinsa. Bisan pa, gibati nako nga kini usa ka hinungdanon ug mapuslanon kaayo nga bahin nga akong gigamit alang sa tanan nakong mga server sa Linux.

Dili kini alang sa bisan unsang katuyoan sa seguridad, apan ang labing dako nga kaayohan sa kini nga bandila mao nga kini gigamit aron ipakita ang mga mensahe sa ssh nga pasidaan sa pagtugot sa UN nga pag-access ug pag-welcome sa mga mensahe sa mga awtorisado nga tiggamit sa wala pa ang pag-aghat sa password ug pagkahuman sa pag-log in sa gumagamit.

[ Tingali ganahan ka usab: Unsaon Pagpanalipod sa SSH Logins sa SSH & MOTD Banner Messages ]

5. SSH Passwordless Login

Usa ka SSH Password-less login uban sa SSH keygen magtukod ug usa ka pagsalig nga relasyon tali sa duha ka Linux server nga naghimo sa file transfer ug synchronization nga mas sayon.

Mapuslanon kaayo kini kung nag-atubang ka sa mga remote automated backups, remote scripting execution, file transfer, remote script management, etc nga walay pagsulod sa password matag higayon.

[ Tingali ganahan ka usab: Unsaon Pag-setup sa SSH Passwordless Login sa Linux [3 Sayon nga mga Lakang] ]

Aron mas masiguro ang imong SSH server, basaha ang among artikulo sa Unsaon Pag-secure ug Paggahi sa OpenSSH Server