Linux serverida SSH ulanishni qanday himoya qilish kerak. Xost autentifikatsiyasi yo'q

SSH - kompyuterlar orasidagi ma'lumotlar uzatish (buyruqlar, fayllar, video va boshqalar) uchun xavfsiz protokol.

Odatiy bo'lib, u VPS-da yoqilgan va eng ko'p hosting etkazib beruvchilarining serverlari osonlikcha, masofadan turib, xavfsiz va xavfsiz tarzda boshqarish mumkin. Aytgancha, yaxshi veb-sayt xizmatida siz VPS serverini arzonlashtira olasiz. SSH barcha VPS-larda yig'ilganligi sababli, xavfsiz qobiqdan foydalanganda hech qanday muammo bo'lmaydi, to'g'ri ssh himoyasi talab qilinadi.

Ildizdan kirishni o'chiring

Birinchidan, superuser hisobi (ildizi ostida mashinaga masofadan ulanish qobiliyatini o'chirish tavsiya etiladi. Buning uchun siz odatda (lekin har doim ham emas) bo'lgan SSHD_CONFIG faylini topishingiz kerak, u / i / SSH / katalogda, va uni oching.

Simitagin elementini topish uchun uni "yo'q", ya'ni bunday yozuv bo'lishi kerakligini aniqlash uchun uni oladi:

Imkoniyat raqami yo'q.

Tabiiyki, bu xakerlikning oldini olmaydi, lekin hali bir necha qiyinchiliklar.

Hacking ehtimolini minimallashtirish uchun login login va parol o'rniga tugmachalar yordamida avtorizatsiyadan foydalanish tavsiya etiladi. Buni bir necha jihatdan amalga oshirish mumkin. Aytgancha, ham shunga o'xshash, shuningdek, BRTUTFORGA SSH himoya qiladi.

Standart portni o'zgartirish

SSH serverining xakerliklari odatda parollar (grutFors) orqali amalga oshiriladi, bu ba'zi bir boshqa stantsiya 22-portni o'zgartiradi. Buni juda oson qiling. Avval siz allaqachon yuqorida aytib o'tilgan SSHD_CONFIG faylini ochishingiz kerak va u erda bitta liniya qo'shishingiz kerak:

Port raqami_port

Masalan, quyidagicha:

3048 port.

Bu serverni ruxsatsiz kirishni istagan odamlar sonini sezilarli darajada kamaytiradi. Port sonini o'zgartirishdan oldin, siz boshqa dasturlarga zarar etkazmasligiga ishonch hosil qilishingiz kerak. Shuningdek, siz hali ishlatilmagan portni tanlashingiz kerak, chunki dasturlar u tufayli ziddir.

IP kirish cheklovi

Himoya qilishning yana bir usuli, deyarli nolga teng bo'lgan, bu ruxsatsiz ulanish ehtimolini avtorizatsiya qilishning cheklovlarini o'rnatishdir. SSH, shu tarzda sozlash uchun uni faqat IP manzillari bilan faqat olis mashinalar bilan tizimga kirish uchun sozlash mumkin. Buning uchun, har bir foydalanuvchi uchun ruxsatnomachining ruxsatnomasida SSHD_CONGIG faylida @ raqamini qo'shish kerak. Masalan, bu turga ega bo'lishi mumkin:

Imkoniyatlar. [Elektron pochta bilan himoyalangan], [Elektron pochta bilan himoyalangan]

Ushbu usuldan foydalanishdan oldin, vaziyatni kompyuterdan foydalanish kerak bo'lishi kerak, uning telefon manzili konfiguratsiya tomonidan ta'minlanmaganligini tekshirishi tavsiya etiladi.

Xavfsiz parol

Va albatta parolga chidamli paroldan foydalanish kerak. Iloji boricha uzoq va turli xil belgilar bilan, yaxshisi Krokoyabram bilan. Bunga ega bo'lishi kerak.

SSH sizga serverga xavfsiz ulanishni yaratishga imkon beradi, ammo to'g'ri ishlash uchun SSH.UZ xizmatining o'zi Internetga kirish huquqiga ega bo'lishi kerak. Bu potentsiv xakerlar uchun hujum vektorini yaratadi, shuning uchun SSH qo'shimcha himoyaga muhtoj.

Umuman olganda, tarmoqqa kirish bilan har qanday xizmat potentsial maqsaddir. Ushbu xizmatlarning jurnallarida siz kirish va tizimga kirishga urinishlarni aniqlashingiz mumkinligini, tizimga kirishga urinishlar - bu foydalanuvchilar va botqoqlarning bajarilgan hujumchi hujumdir.

Muvaffaqiyatsiz2ban xizmati hujumlarni oldindan belgilangan miqdordagi kirish urinishlari asosida avtomatik ravishda IPTUBETS orqali xavfsizlik devyusi konfiguratsiyasini o'zgartiradigan qoidalardan foydalangan holda, hujumlarni yumshatishi mumkin. Bu serverga administrator aralashuvisiz ruxsatsiz kirish uchun o'z vaqtida javob berishga imkon beradi.

Ushbu qo'llanma Ubuntu-server 14.04-da muvaffaqiyatsiz2tanni o'rnatishga yordam beradi.

To'xtatish muvaffaqiyatsiz2ban.

Ubuntu repetitori muvaffaqiyatsiz2ban paketini ta'minlaydi, shuning uchun u standart partiya menejeri yordamida o'rnatilishi mumkin.

Paket indeksini yangilang va ushbu buyruqlardan foydalanib, muvaffaqiyatsiz2tanni o'rnating:

sudo apt-get yangilanishi
Sudo apt-get o'rnatilmagan 2ban

Endi siz yordam berish uchun davom etishingiz mumkin.

Muvaffaqiyatsiz2ban konfiguratsiyalari

Muvaffaqiyatsiz2ban konfiguratsiya fayllari / hattoki / va muvaffaqiyatsiz2ban katalogida saqlanadi. Standart parametrlarni Javon.conF faylidan topish mumkin.

Ushbu fayl paketni yangilash paytida o'zgartirilishi mumkinligi sababli, uni tahrirlashingiz shart emas. Uning tarkibini boshqa faylga nusxalash va u erdagi parametrlarni rostlash yaxshiroqdir. Shunday qilib, ushbu ikkita fayl to'g'ri ishlaydi, yangi faylda faqat qamoqxonada bekor qilinishi kerak bo'lgan parametrlarni qoldiradi. Barcha standart parametrlar jail.conf faylidan o'qiladi.

Javkonf-ni nusxalash va uni qamoqxona fayli uchun asos sifatida ishlating. Buning uchun:

aVK "(PrintFF ''»; Chop etish;) "/etc/fail2ban/jail.conf | Sudo tee /etc/fail2ban/jail.local

Shundan so'ng, jail.confga qarang:

sudo nano /etc/fail2ban/jail.conf.

Ushbu faylda ba'zi parametrlarni yangilash mumkin. Bo'pitar parametrlar muvaffaqiyatsiz2ban qo'llab-quvvatlaydigan barcha xizmatlarga murojaat qiladi (agar ushbu qiymatlar ushbu xizmatlarning konfiguratsiya qilingan fayllarida qayta ishlanmasa).

. . .
e'tiborsiz \u003d 127.0.0.1/8
. . .

E'tibor berilmagan parametrlar ishlamay qolishi mumkin bo'lgan manbalar manzillarini sozlaydi. Odatiy bo'lib, u mahalliy mashinadan keladigan har qanday trafikni o'tkazadi. Siz e'tibor bermaslik kerak bo'lgan boshqa manzillarni, ularni kosmos orqali e'tiborsiz qoldirish orqali ularni joylashtirishingiz mumkin.

. . .
Bantime \u003d 600.
. . .

Bantime parametri autentifikatsiyadan o'tolmasa, mijoz blokirovka qilinsa, vaqtni belgilaydi. Uning qiymati bir necha soniya ichida o'lchanadi. Odatiy 600 soniya (10 daqiqa).

. . .
Topishim \u003d 600.
Maxrrrery \u003d 3.
. . .

Sizga e'tibor berishingiz kerak bo'lgan quyidagi ikkita parametr topildi va makr. Birgalikda ular noqonuniy foydalanuvchilar to'sib qo'yiladigan shartlarni aniqlaydilar.

Maxusning o'zgaruvchisi kiritish urinishlari sonini belgilaydi va topilgan vaqt - foydalanuvchi autentifikatsiya qilish vaqt oralig'i. Agar mijoz ushbu ko'rsatkichlardan birortasiga oshsa, u bloklanadi. Odatiy bo'lib, muvaffaqiyatsizlanish ma'lumotlarini 10 daqiqada 3 marta bajara olmaydigan mijozlar.

. . .
Bemail \u003d. [Elektron pochta bilan himoyalangan]
Santername \u003d Muvaffaqiyatsiz2ban.
MTA \u003d yubor
. . .

Beadal, Yanlama nomi va MTA parametrlari sizga elektron pochta xabarlarini sozlashga imkon beradi. Feneail parametrli parametr elektron pochta manzilini bloklangan foydalanuvchilar haqida xabar olishi kerak bo'lgan elektron pochta manzilini belgilaydi. Yanlov parametri parametr xabar jo'natuvchini belgilaydi. MTA parametri pochtani yuborish uchun qaysi pochta xizmati qaysi pochta aloqasidan foydalanilishini aniqlaydi. Ushbu parametrlarni jail.lokal bo'limga qo'shing va tegishli qiymatlarni belgilang.

. . .
Harakat \u003d $ (ACT_) S
. . .

Ushbu parametr blokirovka qilingan taqdirda muvaffaqiyatsiz2ban harakatini sozlaydi. Aktsiya_ qiymati ushbu parametrdan bir oz oldin faylda aniqlanadi. Odatiy harakatlar xavfsizlik devori ko'chib o'tish muddati tugashidan oldin qasddan transportni to'sib qo'yadi.

Agar siz elektron pochta orqali ogohlantirishlarni sozlashni istasangiz, harakat elementini qamoqdagi yoki Jailli faylga qo'shing yoki uni bekor qilmoqchi bo'lsangiz va uning qiymatini harakat_mw-da o'zgartirish. Agar siz xatni jurnallardan tegishli satrlarni qo'shishini istasangiz, siz Acit_MWL qiymatini belgilashingiz mumkin. Agar siz elektron ogohlantirishlardan foydalanishga qaror qilsangiz, pochta sozlamalari qo'llab-quvvatlanganligiga ishonch hosil qiling.

Shaxsiy parametrlar

Shaxsiy xizmatlarni qo'llab-quvvatlash bir xil nomning maxsus bo'limlariga kiritilgan. Masalan, SSH Xizmat parametrlari bo'limda ko'rsatilishi mumkin.

Ushbu bo'limlarning har biri jail.local-dagi bo'limni yechish va yoqilgan satr qiymatini "TRUE" ga o'zgartirish orqali yoqilishi mumkin:

. . .
Yoqilgan \u003d haqiqat.
. . .

Odatiy bo'lib, faqat SSH xizmati qo'llab-quvvatlanadi va boshqa barcha xizmatlar o'chirilgan.

Ushbu qismlar bo'limda o'rnatilgan qiymatlar va ularni sozlash uchun kerak bo'lgan qiymatlar asosida ishlatiladi. Har qanday qiymatni bekor qilish uchun, qamoqxonada tegishli xizmatga bo'linishni qo'shing va uning qiymatlarini o'zgartiring.

Shuningdek, bu erda ba'zi parametrlar o'rnatildi. Filtr parametri haqiqiy autentifikatsiyaning muvaffaqiyatsiz urinishiga kirishda satrni aniqlashga yordam beradi; Logpat parametrlari hisobvaraqlari buzilgan, bu erda ushbu xizmatning jurnallari joylashgan.

Filtr parametr qiymati - bu /, / profilaktika /fil2ban/filter.D katalogi joylashgan fayl bilan bog'langan havolanma. Ushbu fayllarda jurnal xabaridagi satr haqiqiy autentifikatsiyaning muvaffaqiyatsiz urinishi haqida aniq ko'rsatilgan. Ushbu fayllar ushbu qo'llanma doirasidan tashqarida, chunki ular juda murakkab va standart parametrlar ko'p hollarda juda mos keladi.

Ushbu katalogda filtrlarni ko'rishingiz mumkin:

ls /etc/fail2ban/filter.d.

Kerakli xizmat bilan bog'liq bo'lgan faylni toping va matn muharriri yordamida oching. Ko'pgina fayllar juda yaxshi izohlanadi va siz xizmatni himoya qilish skriptini o'qishingiz mumkin. Ushbu filtrlarning aksariyati jail.conf faylida tegishli bo'limlarga ega (ular sukut bo'yicha o'chirilgan). Agar kerak bo'lsa, ularni qamoqxonada yoqish mumkin.

Aytaylik, sizda nginx bilan xizmat ko'rsatiladi. Veb-server jurnallari doimiy ravishda muvaffaqiyatsiz kiritish urinishlari bilan doimo yangilanadi. Muvaffaqiyatsiz2ban yordam dasturi Nhginx-HTTP-HTTP-AUMEXFIF faylidan doimiy ravishda tekshirish uchun foydalanishi mumkin /

Buning uchun deyarli barcha zarur parametrlar allaqachon / transportc/fail2ban/jail.conf fayli bo'limida mavjud. Siz shunchaki ushbu bo'limni jail.lokal faylida unutishingiz kerak va yoqilgan parametrida to'g'ri belgilang.

. . .
Yoqilgan \u003d haqiqat.
. . .

Shundan so'ng, siz muvaffaqiyatsiz2banni qayta boshlashingiz kerak.

Muvaffaqiyatsiz2banni sozlash.

Endi siz muvaffaqiyatsiz2ban asoslarini bilasiz. SSH va Nginx xizmati uchun avtomatik blokirovka siyosatini sozlashga harakat qiling. Sizga elektron pochta orqali IP manzilini blokirovka qilishda elektron pochta orqali xabarlarni yuborish uchun muvaffaqiyatsiz2ban vositasi kerak.

Boshlash, kerakli dasturiy ta'minotni o'rnating.

Sizga nginx kerak bo'ladi, chunki muvaffaqiyatsiz2ban o'z jurnallarini kuzatib boradi va bildirishnomalarni yuborish uchun yuboradi. Server yuklanganda server saqlanadigan serverni tejash va avtomatik ravishda yuklangan va avtomatik ravishda yuklanganligi uchun IMTUS-ning doimiy paketiga kerak. Ushbu paketlarning barchasi Ubuntu omboridan yuklab olinishi mumkin:

sudo apt-get yangilanishi
Sudo apt-get o'rnatish nginx panelma iPTUTS-ning doimiy

Baxtli xavfsizlik devorini sozlash uchun muvaffaqiyatsiz2ban xizmatini to'xtating.

Firewall sozlash

Asosiy xavfsizlik devori o'rnatilgan ulanishlarni, shuningdek serverning o'zi tomonidan yaratilgan trafikni va SSH va veb-server portlari uchun mo'ljallangan trafikni qo'llab-quvvatlashi kerak. Boshqa barcha trafik bloklanadi. Qoidalar shunga o'xshash:

sudo ipptabe -A inpute-men qabul qilish
Sudo ipptabe -A kiritish -m Contrtrack -M BottTack - Tanilgan qabul qilingan
Sudo ipptabe -A inpute -p TCP --FORT 22 -J qabul qiling
Sudo ipptabe -A kiritish -m-m oshish -m-sonli ko'p sonli - 8443-son
Sudo ipptabe -A kiritilgan

Ushbu jamoalar yuqoridagi siyosatlarni amalga oshiradilar. Hozirgi xavfsizlik devori qoidalarini ko'rish uchun:

sudo ixtiyoriy
-P kiritish qabul qilish
-P oldinga qabul qilish
-P Chiqish qabul qilish
-A Kiritish -i lo -J qabul qiladi




-A inpure -J tomchi

Qayta yoqishdan keyin yo'qotmasliklari uchun xavfsizlik devori qoidalarini saqlang.

sudo dpkg-remontli iPTUTS

Muvaffaqiyatsiz2banni qayta yoqing:

sudoer servisidagi muvaffaqiyatsiz bajaring

Xavfsizlik devori qoidalarini talab qiling:

sudo ixtiyoriy
-P kiritish qabul qilish
-P oldinga qabul qilish
-P Chiqish qabul qilish
-N muvaffaqiyatsiz2ban-ssh

-A Kiritish -i lo -J qabul qiladi
-Men -M Incttrack - Vitttate aloqasi bilan bog'liq
-A Input -P TCP -M TCP --Darport 22 -J qabul
-A Input -P TCP -M TCP --dport 80 -J qabul qilish
-A inpure -J tomchi
- muvaffaqiyatsiz2ban-ssh -J qaytish

Endi har bir zanjirning standart siyosati mavjud. Shuningdek, xavfsizlik devori beshta asosiy qoida mavjud. Muvaffaqiyatsiz2ban tuzilishi qizil rangda ta'kidlangan: Ushbu vositani blokirovka qilish qoidalari qo'llaniladi. Ba'zida bu struktura birinchi navbatda namoyish etilmaydi, chunki muvaffaqiyatsiz2ban birinchi blokirovkaga tuzilmasligi mumkin.

Muvaffaqiyatsiz2banni sozlash.

Endi siz Javl.lokal fayliga muvaffaqiyatsiz2ban sozlamalarini qo'shishingiz kerak:

sudo nano /etc/fail2ban/jail.local

Bu erda siz blokirovka vaqtini yanada qattiq almashtirishingiz mumkin. Sarlavhani toping va toping. Ushbu bo'limda, xizmatni yarim soat davomida blokirovka qilib qo'ydi:

. . .
bantime \u003d 1800.
. . .

Shuningdek, siz bildirishnomalarni sozlashingiz kerak. Avval Bo'limda ham bo'lishi kerak bo'lgan bemor parametrini toping. Ushbu xabarlarni to'plash uchun foydalanmoqchi bo'lgan elektron pochta manzilingizni kiriting:

. . .
Bemail \u003d. [Elektron pochta bilan himoyalangan]
. . .

Yanlovda har qanday qulay qiymatni ko'rsating. Bu erda pochta xizmati filtrlashi mumkinligini tavsiflovchi qiymatdan foydalanish tavsiya etiladi.

Keyin harakatning qiymatini to'g'rilashingiz kerak. Siz mijozni bloklaydigan Action_MW qiymatini o'rnatishingiz mumkin va keyin "Wois" hisobotini yuboradi. Action_MWL qiymati bir xil, ammo tegishli jurnal liniyalarini ham yuboradi.

. . .
harakat \u003d% (ACTIC_MWL) S
. . .

Maxenry Directive-da SSH bo'limida siz autentifikatsiya qilish urinishlari sonini o'zgartirishingiz mumkin. Agar siz nostandart portni ishlatsangiz (22 emas), uni port parametrida ko'rsating. Yuqorida aytib o'tilganidek, ushbu server allaqachon kiritilgan.

Keyin Nhginx-http-ning hisobini toping. Sarlavhaga ruxsat bering va yoqilgan parametr qiymatini "TRUE" ga o'zgartirish.

. . .

Yoqilgan \u003d haqiqat.
. . .

Agar veb-server standart portlarni ishlatsa, ushbu bo'limda siz ushbu bo'limda qilishingiz kerak bo'lgan narsa bu standart katalogda saqlanadi.

Muvaffaqiyatsiz2banni qayta ishga tushiring.

Faylni saqlang va yoping.

Keyin muvaffaqiyatsiz2ban xizmatini qayta ishga tushiring. Ba'zida uni yanada yaxshiroq to'xtating va yana yuguring.

sudo xizmatining faoliyati to'xtatildi2 to'xta
Sudoer servisidagi muvaffaqiyatsiz bajaring

Xavfsizlik devori barcha qoidalarini yuklab olish uchun bir necha daqiqa vaqt o'tishi mumkin. Ba'zida birinchi mijoz bloklanganiga qadar qoidalar qo'shilmaydi. Birozdan keyin yangi qoidalarni tekshirishingiz mumkin:

sudo ixtiyoriy
-P kiritish qabul qilish
-P oldinga qabul qilish
-P Chiqish qabul qilish
-N muvaffaqiyatsiz2ban-ngin-http-xol

-N muvaffaqiyatsiz2ban-ssh

-A Kirple -p TCP -M ko'p ko'paytirish - 8433 -J muvaffaqiyatsiz - ngp-http-xol

-A Kirple -p TCP -M ko'p ko'paytirish - 22 -J muvaffaqiyatsiz2ban-ssh
-A Kiritish -i lo -J qabul qiladi
-Men -M Incttrack - Vitttate aloqasi bilan bog'liq
-A Input -P TCP -M TCP --Darport 22 -J qabul
-A Input -P TCP -M TCP --dport 80 -J qabul qilish
-A inpure -J tomchi
-A Muvaffaqiyatsiz - Nhginb-http-xoletsi

- muvaffaqiyatsiz2ban-ssh -J qaytish

Muvaffaqiyatsiz 2ban siyosati tomonidan yaratilgan qizil yoriqlar. Endi ular shunchaki trafikni yangi, deyarli bo'sh zanjirlarga yuborishadi, so'ngra korpus tarmog'iga qaytish oqimini orqaga o'tkazib yuborishadi.

Ushbu zanjirlarga qulflash qoidalari qo'shiladi.

Sinov siyosatini blokirovka qilish

Endi siz Qoidalarni amalga oshirish huquqi bo'lmagan serverda hech qanday ma'lumotga ega bo'lmagan boshqa serverdan ulanish orqali sinab ko'rishingiz mumkin.

Mavjud bo'lmagan hisob ma'lumotlari yordamida serverga SSH-ga ulanishni yaratishga harakat qiling:

ssh. [Elektron pochta bilan himoyalangan]_Server_ip.

Parol sifatida tasodifiy belgilar to'plamini kiriting. Bir necha marta takrorlang. Ba'zi bir paytlarda muvaffaqiyatsiz2ban kirish huquqini o'chiradi va "ruxsat rad etildi" xabarini aks ettiradi.

Birinchi serverga qayting va iPTPTBES qoidalarini ko'ring:

sudo ixtiyoriy
-P kiritish qabul qilish
-P oldinga qabul qilish
-P Chiqish qabul qilish
-N muvaffaqiyatsiz2ban-ngin-http-xol
-N muvaffaqiyatsiz2ban-ssh
-A Kirple -p TCP -M ko'p ko'paytirish - 8433 -J muvaffaqiyatsiz - ngp-http-xol
-A Kirple -p TCP -M ko'p ko'paytirish - 22 -J muvaffaqiyatsiz2ban-ssh
-A Kiritish -i lo -J qabul qiladi
-Men -M Incttrack - Vitttate aloqasi bilan bog'liq
-A Input -P TCP -M TCP --Darport 22 -J qabul
-A Input -P TCP -M TCP --dport 80 -J qabul qilish
-A inpure -J tomchi
-A Muvaffaqiyatsiz - Nhginb-http-xoletsi
- Muvaffaqiyatsiz2ban-ssh 203.0.113.14/32-foy - ICMP-Port -ort-Narxi bilan rad qiling
- muvaffaqiyatsiz2ban-ssh -J qaytish

Yangi qoida qizil rangda ta'kidlangan. SSH portiga ikkinchi serverning IP manzilidan trafikni to'sib qo'yadi. Tez orada sizga mijoz qulfi haqida xabar olasiz.

Xulosa

Endi siz muvaffaqiyatsiz2ban asoslari bilan tanishsiz va siz ushbu vositaning asosiy konfiguratsiyasini yaratishingiz mumkin.

SSH serveriga bir nechta himoya qoidalari.

1. SSH server konfiguratsiyasiga qo'shing, standartga qo'shimcha ravishda boshqa portni tinglang. (Xarid qilish qulayligi uchun siz barcha serverlaringiz uchun 4 ta tegishli raqamlardan foydalanishingiz mumkin).

$ Sudo vi / va boshqalar / ssh / sshd_Config port xxxx

2. Biz 22 Portga qo'ng'iroqlarni cheklaymiz * masalan, 8-masalan, 8.8.8.8 (bunday qoidalar bir nechta, ish / uy)

$ sudo vi / va iPptabe -A-ni 8.8.8.8 -p TCP -m shtat --Sport 22-Bespond - Qabul qilish

3. Agar ishlatilgan bo'lsa, IPv6-dan foydalanayotganimizni tekshirishni unutmang, keyin juda ko'p yoping

$ sudo vi / va boshqalar / Sgronfig / IP6Tables * Filtr: Qabul qilish: Ishga qabul qilish: Ishga qabul qilish: Ishga qabul qilish -Amp -M IPV6-ICMP-ICMP-ICMP-I ICMP -M I Lo-a INTECTET -M Davlat - TCP -P TCP - Qabul qilish -Sport 80-TCP-▪ -M holati -Jact -A-ni qabul qilish - ICMP6-Tak-Rakkalangan - ICMP6-Tak-Rad-Taqiqlangan majburiyat bilan

SSH-dan faqat ma'lum bir manzilda foydalanish uchun konfiguratsiya faylida etarli. sshd_config. Parmetrni belgilang Tinglashda (Masalan, tinglashda 74.125.200.100). Bunday holda, SSH faqat ushbu manzilda mavjud bo'ladi va IPv6 orqali ishlamaydi

4. SSH konfiguratsiya faylidan mijoz tomonida foydalaning.

Manzil: ~ / .Ssh / config

# Tuzatish amalga oshmadi: singan trubal serverewal 120 TCPKEPALIVE # Xostning 127.0.3 # xostname-dan foydalanish uchun # avtorizatsiya kaliti # Avtorizatsiya qilish kaliti (agar ishlatilgan bo'lsa) / .SSh / ID_RSA.DEV

Va konfiguratsiya faylidan foydalanishning yana bir misoli:
{<1>}

"SSH-SERRE-1" xost-1 xost nomi 1.2.3.4 "SSH-SERA-2 foydalanuvchi ildizi" SSH-SERA-2 foydalanuvchi "1-chi deb" NC-~ XC0 "~ / .SSh / ID_RSA. -PC proksicCommand SSH-CR0 SSH-SERV-1 NC-CAT0 192.168.10.20

Va endi ssh-server-1 ga ulanishda biz darhol biz kerak bo'lgan mezbonga sakrab o'tamiz. (Masalan, masalan, serverlardagi boshqa tugmachalar bilan foydalanish qulay)

Va yana xipster Proksi variant:

{<2>}

Ngrok mijozini xavfsizlik devori orqasida joylashgan serverga yuklab oling. Ikkilik o'tkazing va qaysi portni uyg'otishimiz kerakligini aniqlang

Ssh. - Bu tarmoqda xavfsizlikni ta'minlash va ma'lumotlarni uzatish uchun ishlatiladigan protokol. U doirada keng qo'llaniladi. Linux. Masofaviy serverni boshqarish uchun ma'murlar. Serverga kirish uchun Internetga server ulanish ko'pincha SSH xizmatiga juda ko'p biriktirilgan. Eng rejalashtirilganligi - foydalanuvchi parolini ma'rifat huquqi bilan tanlash. Ushbu qo'llanmada xavfsizlik uchun asosiy tavsiyalarni ko'rib chiqamiz Ssh. Ulanishlar.

Murakkab parolni o'rnating

Sizning serveringiz serverga parolni tanlashga urinayotgan hujumchilarning hujumlarini taklif qilishi mumkin Ssh.Hacking xavfini kamaytirish uchun - quyidagi parametrlarga tegishli server hisoblariga parollarni o'rnatishni tavsiya etamiz:

• Kamida 8 ta belgi
• Yuqori va kichikroq reestrdan foydalaning (ABB)
• Harflardan foydalaning - raqamlar va belgilar ( [Elektron pochta bilan himoyalangan])

Kuchli parol nafaqat xakerlikdan himoya qiladi Ssh. Protokol, lekin umuman, server himoyasini yaxshilaydi.

SSH tugmalarini ishlatish

Sizning serveringiz qo'shimcha himoya qilish Serverga ulanish uchun tugmachani ishlatadi Ssh.Siz ulanadigan kompyuter / serverda kalitni yaratishingiz kerak:

Qanday yaratish kerak Ssh. Kalit Windows OS.:

Kalitni yaratish uchun Linux. Buyruqni tering:

Ssh-keyglen - rs

Ushbu kalitni ulanadigan tizimga o'rnatish uchun: Turi:

SSH-NOD-ID -P 22 [Elektron pochta bilan himoyalangan]

• 22. - ishlaydigan server porti Ssh. Protokol (o'zgartirilishi mumkin, quyida keltirilgan ma'lumotlar)
• admin. - Serveringizdan kiring
• 192.168.1.1 - sizning serveringizning IP-manzili

Agar siz hamma narsani to'g'ri bajarsangiz, endi siz serverning kalitiga ulanishingiz mumkin va har safar parolni kiritishingiz shart emas.

Shaxsiy portdan foydalaning

Standart Ssh.server tinglovchilarida ishlayotgan xizmat 22 port Ma'lumotlarni uzatish / uzatish uchun, hujumchilar ko'pchilik foydalanuvchilar serverga ulanish uchun standart portni o'zgartirmasliklari mumkin. Shuning uchun, biz portni o'zgartiramiz va shu bilan yana bizning serverimizni buzish xavfini kamaytiradi.

Buning uchun konfiguratsiya faylini oching. Ssh. Serverda:

Sudo nano / h.s. / ssh / sshd_Config

Biz ushbu turdagi sharhlangan satrini topamiz:

# Port 22.

Ramzni olib tashlang # - Fikrni olib tashlash va o'zgartirish 22 bilan boshlanadigan har qanday raqamlarda 11060 Masalan, biz foydalanamiz 11 060 Endi satr quyidagicha ko'rinishi kerak:

Port 11060.

Konfiguratsiyani saqlang " Chomra+O. o."Va muharrirdan chiqing" Chomra+X.".

Qayta boshlash kerak Ssh. Xizmat - Yangi sozlamalarni boshlash uchun buyruqni bajaring:

Sudoer servis SSHD qayta ishga tushirildi

Shunday qilib, biz ulanish uchun portni o'zgartirdik, endi - standart bo'lmagan port variantini ko'rsatishingiz kerak bo'lgan serverga ulanishingiz kerak -p. 11060 , masalan:

SSH -P 11060 [Elektron pochta bilan himoyalangan]

Foydalanuvchilarning faqat qismlariga kiring

Ssh. Ulanish individual hisoblar uchun cheklangan bo'lishi mumkin, masalan, agar serverda uchta hisob bo'lsa: admin. , serjun , alex. - Sizda faqat ba'zilari uchun masofadan ulanishni hal qilish qobiliyati bor. Buning uchun konfiguratsiya faylini oching. Ssh.:

Ushbu faylda so'nggi satrga o'ting va ushbu tarkib bilan yangisini qo'shish:

Ruxsatchilar ma'mur identifikatori Aleks

Konfiguratsiyani saqlang " Chomra+O. o."Va muharrirdan chiqing" Chomra+X.".

Xizmatni qayta yoqing Ssh.:

Sudoer servis SSHD qayta ishga tushirildi

Siz ko'pchilik foydalanuvchilarga masofadan kirish huquqiga ruxsat berdingiz. admin. va alex., foydalanuvchi qachon serjun Siz boshqa hech qanday ulanishingiz mumkin emas.

SSH protokolini yoqing 2

Standartga muvofiq Ssh. 1-versiyada ishlaydi, bu versiya eskirgan va ko'plab zaifliklar mavjud, ammo xavfsizlikni yaxshiroq ta'minlash uchun. 2. Buni amalga oshirish uchun konfiguratsiya faylini oching Ssh.:

Sudo nano / hk / ssh / ssh_Config

Satrni toping:

# Protokol 2.

Ramzni olib tashlang # - Fikrni olib tashlash va ushbu qatordan foydalanish uchun, buni amalga oshirish mumkin:

2-protokol.

Konfiguratsiyani saqlang " Chomra+O. o."Va muharrirdan chiqing" Chomra+X.".

Xizmatni qayta yoqing Ssh.:

Sudoer servis SSHD qayta ishga tushirildi

Bo'sh parollarni o'chirish

Bajarilish Ssh. Xizmat foydalanuvchilarga parollarsiz ulanishni taqiqlaydi, ehtimol sizda serverda ushbu variant mavjud, shuning uchun konfiguratsiya faylini oching Ssh.:

Sudo nano / hk / ssh / ssh_Config

Satrni toping Ruxsatnomaptyptwords. va qiymat qiymatga ega ekanligiga ishonch hosil qiling "Yo'q".

Ruxsatnomaptyptwords №

Batafsil jurnalni yoqing

Xizmat qilish Ssh. IP manzilini indikatsiyani hisobga olish, konfiguratsiya faylini oching Ssh.:

Sudo nano / hk / ssh / ssh_Config

Satrni toping Loghlevel. va o'rniga Ma'lumot. Belgilamoq Fe'lSatr quyidagicha ishlashi kerak:

Loghlevel fe'l-atvor.

Faylni saqlang. " Chomra+O. o."Va EXIT muharriri" Chomra+X.".

Xizmatni qayta yoqing Ssh.:

Sudoer servis SSHD qayta ishga tushirildi

Siz tekshirishingiz, buyruqni kiriting:

Mushuk / log / xavfsiz

Tizim bizga ma'lumotni ishlab chiqaradi, taxminan shunday:

Yun 21 13:06:28 Centos SSHD: 118.212.143.47 port 48263 ssh2

Ya'ni, ushbu yozuvda biz belgilangan manzildan serverni kiritishga urinish mavjudligini ko'ramiz.

E'tiboringiz uchun rahmat, bularning barchasi.

Parolni yaratishdan bizning serverimizning kanalizatsiya uchun siz Sshgerard yoki SSHIT Utilitter-dan foydalanishingiz mumkin.

Ish tamoyillari.

sshguard va Sshit bitta printsip bo'yicha ishlaydi. Noto'g'ri autentifikatsiya va agar ma'lum qiymatga erishilgan bo'lsa, xavfsizlik devori blokirovka qilish qoidasiga hujum qilinadigan IP-ni tahlil qiling. Muayyan vaqtdan keyin, qoidadan boshlab IP o'chiriladi.
Ishga kirish uchun harakatlangan xavfsizlik devori sozlangan.

Sshuniard

sshhirard qanday ishlashni biladi

• AIX mahalliy xavfsizlik devori - IBM AIX operatsion tizimlari uchun
• netFilter / IPTUTS - Linux asosida ishlaydigan tizimlar uchun
• Paket filtri (PF) - BSD operatsion tizimlari uchun (Ochiq, bepul, tarmoq, dragonfly -sd)
• Ipfirewall (IPFW) - FreeBSD va Mac OS X uchun
• IP filtri (Ipfilter) - FreebDD, Netbd va Solaris uchun
• tCPD "S" xosts_access (/etc/hstlisal) - Unix bo'ylab portativ
• nol - Portativ ko'chatni aniqlash uchun hech qanday orqada qoldiq emas, balki oldini olmaydi

Men PF-dan PF-ga misolda ishlataman.

SSHUDGONAD-ni o'rnatish.

FreeBSD:

Portlardan o'rnating

CD / USR / portlar / Xavfsizlik / Sshguard-PF / && o'rnating

Agar biron bir sababga ko'ra portlardan foydalanmang, Sshgerdan so'nggi versiyasini yuklab oling va qo'llanmada to'plang

./configure - Firewall \u003d PF && o'rnating && o'rnating

Debian:

Apt-get o'rnating

Sshguard operatsiyasi uchun OT-ni sozlash.

Chizorlarni saqlash uchun jurnal yarating

# Ni bosing / var / log / sshigirar

Debian (xirilzy):

Keyingi qatorda / va boshqa / sshoqerni tahrirlash

#Mancedit / hokazo / standart / sshoqard # -5 - 40-sonli 1200 "Args \u003d" - 5-sonli 2400 -b / Sshguard / qora-qora rang / qora rangli.

va sshunarni qayta ishga tushirish
SSHGUGUARD SERVIS.

FreeBSD:

PF konfiguratsiyasida ikkita qatorni qo'shishimiz kerak

Stol Davom eting.

biz sshigirar IP robotlarini chiqaradigan stolni e'lon qilamiz.

Agar $ if0 proto tcp-dan $ tezlikda blokirovka qiling

Aslida, blokirovka qilish qoidasi, uni PF konfiguratsiyasining qoidalarining eng yuqori qismida joylashtirilishi kerak. Agar ulanishlar barcha interfeyslarda blokirovka qilish uchun blokirovka qilish uchun $ IF0 interfeysi, har qanday narsani almashtiring.
Konfiguratsiya faylini qayta o'qing

Auth.info; autpriv.info | ISHLAB CHIQARISH / URR / SBIN / SBIN / SSHULY

va syslogni qayta ishga tushiring

# / va hk / RC.D / SYSLOGD qayta ishga tushirildi

Aslida, ushbu manipulyatsiyalardan keyin, Sshigigard standart parametrlarga qarshi hujumlarni to'sib qo'yadi.
B hujumida B. /vat/log/uth.log. Biz quyidagilar haqida ko'ramiz

Jun1611: 01: 40 www sshd: Foydalanuvchi testlari61.172.251.18389.310.168.19.60.16899.19.30.168.1144.130: 29: 49 Www SSHD: Foydalanuvchi testi85.114.130.168: 50 www kshydd: Bellinging85.130.168: 50 www kshhds: Bellinging85.130.160.168: 420sec: 2 soniyadan oshgan 4 ta muvaffaqiyatsizlik.

Sshguard sozlamalarini sozlash

sshigirar, biz bekor qilishimiz mumkin bo'lgan bir qator parametrlarga ega
-A. Autentifikatsiya qilingan autentifikatsiya qilingan urinishlar soni bekor qilinadi. 4.
-p. Qancha soniyalarni qulfdan chiqaradi. 420.
-s. Necha soniya Sshigirlar IPni eslaydi. Odatiy bo'lib, bu 1200. Shunday qilib, agar bitta hujum 30 daqiqada IP bilan ketsa, u standart sozlash paytida taqiqga tushmaydi.
-w. Oq ip, tarmoq yoki oq manzillar fayliga yo'l. Fayl bir qatorni formatlash - bitta kirish, # sharhlarni belgilaydi.
-b. Qora ro'yxatga qancha ip qulf qo'shilishini aniqlaydi va unga yo'l. Qora ro'yxatda Sshigirar boshlanadi va avtomatik ravishda tozalanmaydi.

sSHUGUARD CONFFERATE FILE EMAS, SSHUGULARning boshida parametrlar o'rnatiladi. Bizning holatda, Sshguard Syslog.conf-ni tahrirlashingiz uchun Syslog.conf-ni tahrirlashingiz uchun Syslog.conf-ni tahrirlashingiz uchun SSMOG.Confni tahrirlashingiz mumkin.

Auth.info; autpriv.info | ISHLAB CHIQARISH / SBIN / SBIN / SSHUL / SSHUL / B 5: /usr/local/etc.blacklist

birinchi marta 420 soniyadan keyin bloklanadi va 7 daqiqadan so'ng chiqariladi
2 * 420 y 14 daqiqadan keyin olib tashlanadi
Uchinchi marta 2 * 2 * 420 da va 28 daqiqadan so'ng olib tashlandi ...
2 ^ (n-1) * 420 n-Time.

Sshit.

Sshit - bu mos ravishda, tegishli ravishda tizim perl, shuningdek 2 modullar mavjudligi

• IPC :: Sababli
• PROP :: Pid :: Fayl

Sshit faqat PF va IPFW bilan ishlashi mumkin.

Sshitni o'rnatish.

CD / USR / portlar / Xavfsizlik / && o'rnating

Sshit konfiguratsiyasi.

Sshitda standart qiymatlar orqali amalga oshirishingiz mumkin bo'lgan konfiguratsiya fayliga ega (Sshit) konfiguratsiya fayliga ega.

Firewall_type \u003d "PF"; # Max_count \u003d 3-dan foydalangan # 3; # Haqiqiy autentifikatsiya qilish urinishlari soni _time \u003d 60; # Muvaffaqiyatsiz haqiqiy autentifikatsiyalarning ko'rsatilgan raqami uchun qancha soniya bo'lishi kerakligi uchun Retet_ip \u003d 300; # Necha soniyadan keyin IP qulfini ochish kerak. Pfctl_cmd \u003d "/ sbin / pfctl"; Pf_table \u003d "baghosts" # Yomon IP kiritilgan jadvalning nomi

Sshit uchun sozlash On.

Sshguard ostidagi sozlash bilan taqqoslash pf konfiguratsiya faylini tahrirlash

Stol Agar $% TCP dan $ 0 ga teng bo'lsa Agar "SSH shafqatsiz" belgisi

konfiguratsiya faylini qayta o'qing

#pfctl -F /etc/pf.conf.

Syslog.conf tahrirlash.

Aut.info; autpriv.info | ISHLAB CHIQARISH / SSHIS / SSHITY / SSHIT

va syslogni qayta ishga tushiring