Flere måter å sikre SSH -server
Ulike måter å sikre SSH -server
Alle konfigurasjonsinnstillingen for Ssh serveren kan gjøres ved å endre ssh_config fil. Denne konfigurasjonsfilen kan leses ved å skrive følgende kommando i terminalen.
ubuntu@ubuntu: ~ $ cat/etc/ssh/ssh_config
Merk: Før du redigerer denne filen, må du ha rotprivilegier.
Nå diskuterer vi forskjellige måter å sikre Ssh server. Følgende er noen metoder vi kan bruke for å lage vår Ssh server sikrere
- Ved å endre standard Ssh Havn
- Bruke sterkt passord
- Bruke offentlig nøkkel
- La en enkelt IP logge inn
- Deaktivere tomt passord
- Bruke protokoll 2 for Ssh Server
- Ved å deaktivere X11 -videresending
- Sette en ledig timeout
- Angi et begrenset passord prøver
Nå diskuterer vi alle disse metodene en etter en.
Ved å endre standard SSH -port
Som beskrevet tidligere, som standard Ssh bruker port 22 for kommunikasjon. Det er mye lettere for hackere å hacke dataene dine hvis de vet hvilken port som brukes til kommunikasjon. Du kan sikre serveren din ved å endre standard Ssh havn. Å endre Ssh port, åpen SSHD_CONFIG Fil ved hjelp av Nano Editor ved å kjøre følgende kommando i terminalen.
ubuntu@ubuntu: ~ $ nano/etc/ssh/ssh_config
Finn linjen som portnummer er nevnt i denne filen og fjerner # Skilt før “Port 22” og endre portnummeret til ønsket port og lagre filen.
Bruke sterkt passord
De fleste serverne er hacket på grunn av et svakt passord. Et svakt passord er mer sannsynlig å bli hacket av hackere lett. Et sterkt passord kan gjøre serveren din sikrere. Følgende er tipsene for et sterkt passord
- Bruk en kombinasjon av store og små bokstaver
- Bruk tall i passordet ditt
- Bruk langvarig passord
- Bruk spesialtegn i passordet ditt
- Bruk aldri navn eller fødselsdato som passord
Bruker offentlig nøkkel for å sikre SSH -server
Vi kan logge inn på vår Ssh server ved å bruke to måter. Den ene bruker passord og den andre bruker offentlig nøkkel. Å bruke offentlig nøkkel til pålogging er mye sikrere enn å bruke et passord for å logge på Ssh server.
En nøkkel kan genereres ved å kjøre følgende kommando i terminalen
ubuntu@ubuntu: ~ $ ssh-keygen
Når du kjører kommandoen ovenfor, vil den be deg om å gå inn på banen for dine private og offentlige nøkler. Privat nøkkel vil bli lagret av “ID_RSA” Navn og offentlig nøkkel blir lagret av “ID_RSA.pub" Navn. Som standard blir nøkkelen lagret i følgende katalog
/Hjem/Brukernavn/.ssh/
Etter å ha opprettet offentlig nøkkel, bruk denne nøkkelen til å konfigurere Ssh Logg inn med nøkkelen. Etter å ha sørget for at tasten jobber for å logge på din Ssh server, nå deaktiver passordbasert innlogging. Dette kan gjøres ved å redigere vår ssh_config fil. Åpne filen i ønsket redaktør. Fjern nå # før “Passordauthentication ja” og erstatt den med
PasswordAuthentication nrNå din Ssh Server kan bare nås av offentlig nøkkel og tilgang via passord er deaktivert
La en enkelt IP logge inn
Som standard kan du Ssh inn i serveren din fra hvilken som helst IP -adresse. Server kan gjøres sikrere ved å la en enkelt IP få tilgang til serveren din. Dette kan gjøres ved å legge til følgende linje i din ssh_config fil.
Listenaddress 192.168.0.0Dette vil blokkere alle IP -ene for å logge på din Ssh Annet server enn den angitte IP (i.e. 192.168.0.0).
Merk: Skriv inn IP -en på maskinen din i stedet for “192.168.0.0 ”.
Deaktivere tomt passord
Aldri tillate logge på Ssh Server med tomt passord. Hvis tomt passord er tillatt, er det mer sannsynlig at serveren din blir angrepet av brute force -angripere. For å deaktivere tomt pålogging av passord, åpent ssh_config fil og gjør følgende endringer
TillatelsePassord nrBruke protokoll 2 for SSH -server
Tidligere protokoll brukt til Ssh er SSH 1. Som standard er protokollen satt til SSH 2, men hvis den ikke er satt til SSH 2, må du endre den til SSH 2. SSH 1 -protokoll har noen problemer relatert til sikkerhet, og disse problemene er løst i SSH 2 -protokollen. For å endre det, rediger ssh_config fil som vist nedenfor
Protokoll 2Ved å deaktivere X11 -videresending
X11 Videresendingsfunksjon gir et grafisk brukergrensesnitt (GUI) av din Ssh server til den eksterne brukeren. Hvis X11 -videresending ikke er deaktivert, kan noen hacker, som har hacket SSH -økten din, lett finne alle dataene på serveren din. Du kan unngå dette ved å deaktivere X11 -videresending. Dette kan gjøres ved å endre ssh_config fil som vist nedenfor
X11forwarding neiSette en ledig timeout
Tomgangs timeout betyr, hvis du ikke gjør noen aktivitet i din Ssh Server for et spesifikt tidsintervall, du automatisk logges ut fra serveren din
Vi kan forbedre sikkerhetstiltak for våre Ssh server ved å sette en tomgangstid. For eksempel deg Ssh Serveren din og etter en tid blir du opptatt med å gjøre noen andre oppgaver og glem å logge ut av økten din. Dette er en veldig høy sikkerhetsrisiko for din Ssh server. Dette sikkerhetsproblemet kan overvinnes ved å sette en ledig timeout. Tomgangstid kan settes ved å endre vår ssh_config fil som vist nedenfor
ClientaliveInterval 600Ved å sette tomgang til 600, vil SSH -tilkoblingen bli droppet etter 600 sekunder (10 minutter) av ikke noen aktivitet.
Angi et begrenset passord prøver
Vi kan også lage vår Ssh Server sikker ved å angi et bestemt antall passordforsøk. Dette er nyttig mot brute force -angripere. Vi kan sette en grense for passordforsøk ved å endre ssh_config fil.
Maxauthtries 3Start SSH -tjenesten på nytt
Mange av de ovennevnte metodene må starte på nytt Ssh service etter å ha brukt dem. Vi kan starte på nytt Ssh Tjeneste ved å skrive følgende kommando i terminalen
ubuntu@ubuntu: ~ $ service ssh omstart
Konklusjon
Etter å ha brukt de ovennevnte endringene på din Ssh server, nå er serveren din mye sikrere enn før, og det er ikke lett for en brute force -angriper å hacke din Ssh server.