Различити начини за заштиту ССХ сервера
Сва подешавања конфигурације од ССХ сервер се може извршити модификовањем ссх_цонфиг датотека. Ову конфигурациону датотеку можете прочитати уписивањем следеће наредбе у Терминал.
[заштићена е-поштом]: ~ $ цат / етц / ссх / ссх_цонфигНАПОМЕНА: Пре уређивања ове датотеке морате имати роот привилегије.
Сада разговарамо о различитим начинима осигурања ССХ сервер. Следе неке методе које можемо применити за израду наших ССХ сервер сигурнији
- Променом Дефаулт ССХ Лука
- Коришћење јаке лозинке
- Коришћење јавног кључа
- Омогућавање пријављивања једне ИП адресе
- Онемогућавање празне лозинке
- Коришћење протокола 2 за ССХ Сервер
- Онемогућавањем прослеђивања Кс11
- Постављање временског ограничења у празном ходу
- Постављање ограничених покушаја лозинке
Сада разговарамо о свим овим методама једну по једну.
Променом подразумеваног ССХ порта
Као што је раније описано, подразумевано ССХ користи порт 22 за комуникацију. Хакерима је много лакше хакирати ваше податке ако знају који се порт користи за комуникацију. Можете да заштитите свој сервер променом подразумеваних вредности ССХ Лука. Да бисте променили ССХ лука, отворена ссхд_цонфиг датотеку помоћу нано уређивача покретањем следеће наредбе у Терминалу.
[заштићена е-поштом]: ~ $ нано / етц / ссх / ссх_цонфигПронађите линију у којој се у овој датотеци помиње број порта и уклоните # потписати пре „Лука 22“ и промените број порта у жељени порт и сачувајте датотеку.
Коришћење јаке лозинке
Већина сервера је хакована због слабе лозинке. Слабу лозинку је вероватније да ће хакери лако хакирати. Јака лозинка може ваш сервер учинити сигурнијим. Следе савети за јаку лозинку
- Користите комбинацију великих и малих слова
- Унесите лозинку у бројеве
- Користите дугу лозинку
- У лозинци користите посебне знакове
- Никада не користите своје име или датум рођења као лозинку
Коришћење јавног кључа за заштиту ССХ сервера
Можемо се пријавити на наш ССХ сервер на два начина. Један користи лозинку, а други јавни кључ. Коришћење јавног кључа за пријављивање је много сигурније од коришћења лозинке за пријаву ССХ сервер.
Кључ се може генерисати покретањем следеће наредбе у терминалу
[заштићена е-поштом]: ~ $ ссх-кеигенКада покренете горњу команду, затражиће од вас да унесете путању за свој приватни и јавни кључ. Приватни кључ ће сачувати “Ид_рса” име и јавни кључ сачуваће “Ид_рса.паб ” име. Кључ ће се подразумевано сачувати у следећем директоријуму
/ хоме / корисничко име /.ссх /
Након креирања јавног кључа, користите овај кључ за конфигурисање ССХ пријавите се кључем. Након што се уверите да тај кључ ради за пријављивање на ваш ССХ сервер, сада онемогућите пријаву засновану на лозинци. То се може урадити уређивањем нашег ссх_цонфиг датотека. Отворите датотеку у жељеном уређивачу. Сада уклоните # пре него што „ПассвордАутхентицатион иес“ и замените га са
ПассвордАутхентицатион бр
Сада твој ССХ серверу се може приступити само јавним кључем, а приступ лозинком је онемогућен
Омогућавање пријављивања појединачне ИП адресе
Подразумевано можете ССХ на ваш сервер са било које ИП адресе. Сервер се може учинити сигурнијим ако се једном ИП-у омогући приступ вашем серверу. То се може учинити додавањем следећег реда у ваш ссх_цонфиг датотека.
Адреса за преслушавање 192.168.0.0Ово ће блокирати све ИП адресе за пријављивање у ваш ССХ сервер који није Ентеред ИП (и.е. 192.168.0.0).
НАПОМЕНА: Унесите ИП свог уређаја уместо „192.168.0.0 ”.
Онемогућавање празне лозинке
Никад не дозволи пријаву ССХ Сервер са празном лозинком. Ако је дозвољена празна лозинка, већа је вероватноћа да ће нападнути грубу силу нападати ваш сервер. Да бисте онемогућили пријаву за празну лозинку, отворите ссх_цонфиг датотеку и извршите следеће измене
ПермитЕмптиПассвордс бр
Коришћење протокола 2 за ССХ сервер
Претходни протокол коришћен за ССХ је ССХ 1. Подразумевано је протокол постављен на ССХ 2, али ако није подешен на ССХ 2, морате га променити у ССХ 2. ССХ 1 протокол има неколико проблема везаних за безбедност и ти проблеми су решени у ССХ 2 протоколу. Да бисте га променили, измените га ссх_цонфиг датотеку као што је приказано доле
Протокол 2
Онемогућавањем прослеђивања Кс11
Кс11 Форвардинг функција даје графички кориснички интерфејс (ГУИ) вашег ССХ сервер за удаљеног корисника. Ако Кс11 Прослеђивање није онемогућено, било који хакер који је хаковао вашу ССХ сесију може лако пронаћи све податке на вашем серверу. То можете избећи онемогућавањем прослеђивања Кс11. То се може учинити променом ссх_цонфиг датотека као што је приказано доле
Кс11 Прослеђивање бр
Постављање временског ограничења у празном ходу
Временско ограничење у празном ходу значи ако не обављате ниједну активност у свом ССХ сервера у одређеном временском интервалу, аутоматски се одјављујете са сервера
Можемо побољшати мере безбедности за наше ССХ сервера постављањем времена неактивности. На пример ти ССХ свог сервера и након неког времена заузмете неке друге задатке и заборавите да се одјавите са сесије. Ово је врло висок сигурносни ризик за вашу ССХ сервер. Овај безбедносни проблем се може решити постављањем времена неактивности. Време мировања се може поставити променом нашег ссх_цонфиг датотеку као што је приказано доле
ЦлиентАливеИнтервал 600Постављањем времена неактивности на 600, ССХ веза ће бити прекинута након 600 секунди (10 минута) неактивности.
Постављање ограничених покушаја лозинке
Такође можемо направити своје ССХ сервер сигуран постављањем одређеног броја покушаја лозинке. Ово је корисно против нападача грубом силом. Променом можемо поставити ограничење за покушаје лозинке ссх_цонфиг датотека.
МакАутхТриес 3
Поновно покретање ССХ услуге
Многе од горе наведених метода треба поново покренути ССХ услуга након њихове примене. Можемо поново покренути ССХ услугу тако што ћете откуцати следећу команду у терминалу
[заштићен е-поштом]: ~ $ сервице ссх рестартЗакључак
Након примене горе наведених промена на вашем ССХ серверу, сада је ваш сервер много сигурнији него раније и нападачу грубе силе није лако да вас хакује ССХ сервер.