OpenSSH serwerini nädip goramaly we saklamaly
Serwerler, marşrutizatorlar we wyklýuçateller ýaly uzakdaky enjamlara girmek barada aýdylanda, SSH protokoly traffigi şifrlemek we baglanyşyklaryňyza gulak asjak bolup biljek islendik adamyň öňüni almak ukyby sebäpli ýokary maslahat berilýär.
Mümkin boldugyça, SSH-iň deslapky sazlamalary ýalňyş däl we protokoly has ygtybarly etmek üçin goşmaça düzedişler gerek. Bu gollanmada, serwerde OpenSSH gurnamasyny berkitmek we berkitmek üçin ulanyp boljak dürli usullary öwrenýäris.
1. SSH paroly tassyklamany guruň
Düzgüne görä, SSH ulanyjylara gireniňizde parollaryny bermegini talap edýär. Hereöne şu ýerde bir zat: hakerler parollary çaklap bilerler ýa-da ýörite haker gurallaryny ulanyp zalym güýç hüjümini edip bilerler we ulgamyňyza girip bilerler. Ygtybarly tarapda bolmak üçin SSH parolsyz tassyklamany ulanmak gaty höweslendirilýär.
Birinji ädim, açar we şahsy açardan ybarat SSH açar jübütini döretmekdir. Şahsy açar, esasy açar uzakdaky serwere göçürilende, açar ulgamyňyzda ýerleşýär.
Jemgyýetçilik açary üstünlikli göçürilenden soň, paroly bermezden uzakdaky serwere yzygiderli SSH edip bilersiňiz.
Indiki ädim parol tassyklamasyny öçürmek, Muňa ýetmek üçin SSH konfigurasiýa faýlyny üýtgetmeli.
$ sudo vim /etc/ssh/sshd_config
Sazlama faýlynyň içinde aşakdaky görkezmäni aýlaň we tapyň. Giriş we hawa
opsiýasyny ýok
görnüşine üýtgetmek
PasswordAuthentication no
Soňra SSH daemonyny täzeden açyň.
# sudo systemctl restart sshd
Bu pursatda diňe SSH düwmesini tassyklamak arkaly uzakdaky serwere girip bilersiňiz.
2. Ulanyjy SSH parolsyz birikmek isleglerini öçüriň
Serweriňiziň howpsuzlygyny berkitmegiň başga bir maslahat berilýän usuly, parolsyz ulanyjylardan SSH girişlerini öçürmekdir. Bu birneme geň görünýär, ýöne käwagt ulgam dolandyryjylary ulanyjy hasaplaryny döredip we parol bellemegi ýatdan çykaryp bilerler - bu gaty erbet pikir.
Ulanyjylaryň paroly bolmazdan haýyşlaryny ret etmek üçin, /etc/ssh/sshd_config
konfigurasiýa faýlyna geçiň we aşakdaky görkezmäniň bardygyny anyklaň:
PermitEmptyPasswords no
Soňra üýtgeşmäniň amala aşyrylmagy üçin SSH hyzmatyny täzeden açyň.
$ sudo systemctl restart sshd
3. SSH kök girişlerini öçüriň
Eger haker kök parolyňyzy zalym edip bilse näme bolup biljekdigi barada pikir ýok. Uzakdan kök girmegine rugsat bermek elmydama ulgamyňyzyň howpsuzlygyna howp salýan erbet pikirdir.
Şol sebäpli hemişe SSH uzak kök girişini öçürmek we ýerine kök däl ulanyja ýapyşmak maslahat berilýär. Againene bir gezek konfigurasiýa faýlyna geçiň we bu setiri görkezilişi ýaly üýtgediň.
PermitRootLogin no
Doneerine ýetirilenden soň, üýtgeşmäniň amala aşyrylmagy üçin SSH hyzmatyny täzeden açyň.
$ sudo systemctl restart sshd
Mundan beýläk uzakdaky kök giriş ýapylýar.
4. SSH protokoly 2 ulanyň
SSH iki wersiýada gelýär: SSH protokoly 1 we protokol 2. SSH protokoly 2 2006-njy ýylda girizildi we güýçli kriptografiki barlaglar, köpçülikleýin şifrlemek we ygtybarly algoritmler sebäpli 1-nji protokoldan has ygtybarly.
Düzgüne görä, SSH protokol ulanýar 1. Muny has ygtybarly 2-nji protokola üýtgetmek üçin aşakdaky setiri konfigurasiýa faýlyna goşuň:
Protocol 2
Hemişe bolşy ýaly, üýtgeşmeleriň güýje girmegi üçin SSH-i täzeden açyň.
$ sudo systemctl restart sshd
Öňe gitmek bilen SSH protokol 2 ulanar.
SSH protokoly 1-iň mundan beýläk goldanýandygyny ýa-da ýokdugyny barlamak üçin buýrugy işlediň:
$ ssh -1 [email
\ SSH protokoly v.1 indi goldanylmaýar diýlen säwlik alarsyňyz.
Bu ýagdaýda buýruk:
$ ssh -1 [email
Mundan başga-da, 2-nji protokolyň ulanylýan deslapky protokoldygyna göz ýetirmek üçin diňe -2
belligini görkezip bilersiňiz.
$ ssh -2 [email
5. SSH birikme wagty gutarýan boş bahany düzüň
Kompýuteriňizi uzak wagtlap boş SSH birikmesi bilen gözegçiliksiz goýmak howpsuzlyk howpuny döredip biler. Kimdir biri geçip, SSH sessiýaňyzy alyp, islän zadyny edip biler. Bu meseläni çözmek üçin, SSH sessiýasy ýapyljak boş wagt möhletini bellemek paýhaslydyr.
SSH konfigurasiýa faýlyňyzy ýene bir gezek açyň we “ClientAliveInterval” direktiwasyny tapyň. Möhüm baha belläň, mysal üçin, çägi 180 sekuntda belledim.
ClientAliveInterval 180
Bu, 3 sekuntdan soň hiç bir işjeňlik hasaba alynmasa, SSH sessiýasynyň taşlanjakdygyny aňladýar, bu bolsa 180 sekunt barabar.
Soňra edilen üýtgeşmelere täsir etmek üçin SSH daemonyny täzeden açyň.
$ sudo systemctl restart sshd
6. Käbir ulanyjylara SSH girişini çäklendiriň
Goşmaça howpsuzlyk gatlagy üçin, sistema girmek we uzakdaky işleri ýerine ýetirmek üçin SSH protokolyny talap edýän ulanyjylary kesgitläp bilersiňiz. Bu, siziň razylygyňyzy almazdan ulgamyňyza girmäge synanyşýan beýleki ulanyjylary saklaýar.
Hemişe bolşy ýaly, konfigurasiýa faýlyny açyň we bermek isleýän ulanyjylaryňyzyň atlary bilen “AllowUsers” direktiwasyny goşuň. Aşakdaky mysalda, ulanyjylara “tekmint” we “james” ulgamyna SSH arkaly uzakdan girmäge rugsat berdim. Uzakdan girmäge synanyşýan başga bir ulanyjy petiklener.
AllowUsers tecmint james
Ondan soň üýtgeşmeleriň dowam etmegi üçin SSH-i täzeden açyň.
$ sudo systemctl restart sshd
7. Parol synanyşyklarynyň çägini düzüň
Howpsuzlyk gatlagyny goşmagyň başga bir usuly, SSH giriş synanyşyklarynyň sanyny çäklendirmek, birnäçe şowsuz synanyşyklardan soň birikme gaçýar. Şeýlelik bilen konfigurasiýa faýlyna ýene bir gezek geçiň we\MaxAuthTries direktiwasyny tapyň we iň köp synanyşyk üçin bahany kesgitläň.
Bu mysalda, görkezilişi ýaly 3 synanyşyk kesgitlenildi.
MaxAuthTries 3
Netijede, öňki ssenariýlerdäki ýaly SSH hyzmatyny täzeden açyň.
Şeýle hem aşakdaky SSH bilen baglanyşykly makalalary peýdaly tapyp bilersiňiz:
- Linux-daky çeşmeden OpenSSH 8.0 serwerini nädip gurmaly
- CentOS/RHEL 8-de SSH-ni goramak üçin Fail2Ban-y nädip gurmaly
- Linux-da SSH portuny nädip üýtgetmeli
- Linux-da SSH tunelini ýa-da port ugradyşyny nädip döretmeli
- Linux-da SSH birikmelerini çaltlaşdyrmagyň 4 usuly
- Linuxhli şowsuz SSH giriş girişini nädip tapmaly?
- Linux-da hereketsiz ýa-da işlemeýän SSH birikmelerini nädip aýyrmaly
Bu, SSH uzak aragatnaşygyňyzy goramak üçin alyp boljak käbir çäreleriň jemidir. Zalym güýçli hüjümleriň öňüni almak üçin uzakdan girip bilýän ulanyjylara hemişe güýçli parol bellemelidigiňizi goşmak möhümdir. Bu gollanmany paýhasly taparsyňyz diýip umyt edýäris. Pikirleriňiz hoş geldiňiz.