5 Iň oňat OpenSSH serweri Iň gowy howpsuzlyk amaly


SSH (Secure Shell), açyk çeşme tor protokoly bolup, faýllary geçirmek, uzakdan ätiýaçlyk nusgalary düzmek, uzakdan buýruk ýerine ýetirmek we beýleki ulgam bilen baglanyşykly beýleki meseleleri birleşdirýän iki serweriň arasynda sftp buýrugy arkaly ýerli ýa-da uzakdaky Linux serwerlerini birikdirmek üçin ulanylýar. torda ygtybarly kanal.

Bu makalada size ssh serweriňiziň howpsuzlygyny berkitmäge kömek etjek ýönekeý gurallary we usullary görkezerin. Bu ýerde ssh serwerlerini zalym güýçden we sözlük hüjümlerinden nädip goramaly we öňüni alyp boljak käbir peýdaly maglumatlary tapyp bilersiňiz.

1. DenyHosts

“DenyHosts”, SSH serwerleri üçin açyk çeşme logiki esasly çozuşyň öňüni alyş howpsuzlyk skriptidir, pifon programmirleme dilinde ýazylan, şowsuz giriş synanyşyklary üçin SSH serwerine giriş surnallaryna gözegçilik etmek we seljermek üçin Linux ulgam dolandyryjylary we ulanyjylary tarapyndan dolandyrylmagy maksat edinilýär. sözlük esasly hüjümler we zalym güýç hüjümleri.

Scriptazgy, giriş giriş synanyşyklaryndan soň IP adreslerini gadagan etmek bilen işleýär we şeýle hüjümleriň serwere girmeginiň öňüni alýar.

  • successfulhli üstünlikli we şowsuz giriş synanyşyklaryny tapmak we süzmek üçin/var/log/howpsuz yzarlaýar.
  • Ulanyjynyň we kemsidiji öý eýesiniň ähli şowsuz giriş synanyşyklaryna gözegçilik edýär.
  • Her bir bar bolan we ýok ulanyjyny (meselem, xyz) şowsuz giriş synanyşygynda synlamagy dowam etdirýär.
  • Her bir kemsidiji ulanyjyny, öý eýesini we şübheli giriş synanyşyklaryny yzarlaýar (Birnäçe giriş şowsuz bolsa) /etc/hosts.deny faýlyna ýazgy goşmak bilen IP adresi kabul edýän gadaganlyklary.
  • Islege görä täze bloklanan öý eýeleri we şübheli girişler barada e-poçta habarnamasyny iberýär.
  • Şeýle hem, haýsy ygtybarly ýa-da nädogry ulanyjynyň hüjüm astyndadygyny aňsatlaşdyrmak üçin aýratyn faýllarda ulanyjy giriş synanyşyklaryny goldaýar. Şeýlelik bilen, şol hasaby pozup ýa-da paroly üýtgedip ýa-da şol ulanyjy üçin gabygy öçürip bileris.

[Şeýle hem halap bilersiňiz: DenyHosts ulanyp SSH zalym güýç hüjümlerini nädip blokirlemeli]

2. Fail2Ban

Fail2ban, piton programmirleme dilinde ýazylan iň meşhur açyk çeşme çozuşyny ýüze çykarmak/öňüni alyş çarçuwalarynyň biridir. Gaty köp synanyşyk synanyşyklary üçin/var/log/safe, /var/log/auth.log,/var/log/pwdfail we ş.m. ýaly gündelik faýllary skanirlemek arkaly işleýär.

Fail2ban, Netfilter/iptables ýa-da TCP Wrapper-iň host.deny faýlyny täzelemek, hüjümçiniň IP adresini belli bir wagt ret etmek üçin ulanylýar. Şeýle hem, dolandyryjylar tarapyndan kesgitlenen belli bir wagt üçin petiklenen IP adresi açmak ukyby bar. Şeýle-de bolsa, belli bir minutlyk gadaganlyk şeýle erbet hüjümleri duruzmak üçin ýeterlikdir.

  • Köp sapakly we ýokary sazlap bolýan.
  • logurnal faýllarynyň aýlanmagyny goldaýar we (sshd, vsftpd, apache we ş.m.) ýaly birnäçe hyzmaty dolandyryp biler.
  • logurnal faýllaryna gözegçilik edýär we belli we näbelli nagyşlary gözleýär.
  • Hüjümçileriň IP-ni gadagan etmek üçin Netfilter/Iptables we TCP Wrapper (/etc/hosts.deny) tablisasyny ulanýar.
  • Şol bir IP adresi üçin berlen nagyş X-dan köp kesgitlenende skriptleri işledýär.

[Şeýle hem halap bilersiňiz: Linux serweriňizi goramak üçin Fail2ban nädip ulanmaly]

3. Kök girişini öçüriň

Adalakda Linux Sistemalar üçin her kimiň kök ygtyýarlygyny gönüden-göni girmegine mümkinçilik berýän kök ulanyjy özünde hemmeler üçin shhas uzak girmezler üçin öňünden düzülen aralykda öňünden düzülen bolsa öňünden düzülendir. SSH serweriniň kök girelgelerini öçürmek ýa-da işletmegiň has ygtybarly usulyna has ygtybarly usul, bu hemişe köwka elýeterliligini azaltmak üçin elmydama köwkleri saklamak gowy zat.

Diňe dürli hasap atlaryny we parollaryny berip, SSH hüjümleri arkaly kök hasaplaryny zorlamaga synanyşýanlar gaty köp. Ulgam dolandyryjysy bolsaňyz, ssh serwer surnallaryny barlap bilersiňiz, şol ýerde giriş synanyşyklarynyň ençemesini tapyp bilersiňiz. Birnäçe şowsuz giriş synanyşygynyň esasy sebäbi, ýeterlik parollaryň gowşak bolmagy we hakerleriň/hüjümçileriň synanyşmagynyň manysy bar.

Güýçli parollaryňyz bar bolsa, ähtimal arkaýyn bolarsyňyz, ýöne kök girişini öçürmek we girmek üçin yzygiderli aýratyn hasabyňyz bar bolsa, zerur bolanda kök girmek üçin sudo ýa-da su ulanyň.

[Şeýle hem halap bilersiňiz: SSH kök girişini nädip öçürmeli we Linux-da SSH girişini nädip çäklendirmeli]

4. SSH Bannerini görkeziň

Bu ssh taslamasynyň başyndan bäri bar bolan iň köne aýratynlyklaryň biri, ýöne hiç kimiň ulanandygyny görmedim. Her niçigem bolsa, ähli Linux serwerlerimde ulanan möhüm we örän peýdaly aýratynlykdygyny duýýaryn.

Bu hiç hili howpsuzlyk maksady bilen däl, ýöne bu banneriň iň uly peýdasy, ssh duýduryş habarlaryny BMG-nyň ygtyýarly girişine görkezmek we parol soralmazdan ozal we ulanyjy gireninden soň ygtyýarly ulanyjylara habar ibermek üçin ulanylýar.

[Şeýle hem halamagyňyz mümkin: SSH we MOTD Banner habarlary bilen SSH girişlerini nädip goramaly]

5. SSH parolsyz giriş

SSH açary bilen SSH paroly az girmek, iki Linux serweriniň arasynda faýl gatnaşyklaryny we sinhronizasiýany has aňsatlaşdyrýan ynam gatnaşyklaryny döreder.

Her gezek paroly girizmezden uzakdan awtomatlaşdyrylan ätiýaçlyk nusgalary, uzakdaky skriptleri ýerine ýetirmek, faýl geçirmek, uzakdan skript dolandyryş we ş.m. bilen iş salyşýan bolsaňyz, bu örän peýdalydyr.

[Şeýle hem halamagyňyz mümkin: Linux-da SSH parolsyz girişini nädip sazlamaly [3 aňsat ädim]]

SSH serweriňizi has ygtybarly etmek üçin, OpenSSH serwerini nädip goramaly we berkitmeli diýen makalamyzy okaň