ssh

Cara Melindungi Pelayan SSH di Ubuntu 20.04 dari Asas hingga Lanjutan

Cara Melindungi Pelayan SSH di Ubuntu 20.04 dari Asas hingga Lanjutan
Sama seperti pelayan lain, pelayan SSH juga terdedah kepada percubaan akses yang tidak dibenarkan. Oleh itu, setiap kali anda ingin menggunakan pelayan SSH, anda mesti mempertimbangkan untuk melindunginya terlebih dahulu untuk menyelamatkan diri dari sebarang keadaan yang tidak diingini dalam jangka masa panjang. Secara umum, istilah "mengamankan pelayan" juga dikenal sebagai "mengeraskan pelayan."Ini dapat dilakukan dengan mengambil beberapa langkah. Langkah-langkah ini bergantung pada tahap keselamatan yang anda perlukan.

Langkah-langkah mengamankan pelayan SSH berkisar dari asas hingga yang maju, dan seperti yang kami katakan sebelumnya, anda dapat mengambilnya mengikut tahap keselamatan yang anda perlukan. Anda boleh melewati salah satu langkah yang ditentukan sekiranya anda mempunyai pengetahuan yang mencukupi mengenai akibatnya dan jika anda berada dalam keadaan yang baik untuk menghadapinya. Kita juga tidak boleh mengatakan bahawa satu langkah akan memastikan keselamatan 100%, atau langkah tertentu lebih baik daripada yang lain.

Itu semua bergantung pada jenis keselamatan yang sebenarnya kita perlukan. Oleh itu, hari ini kami berhasrat untuk memberi anda gambaran yang mendalam mengenai langkah asas dan lanjutan untuk mendapatkan pelayan SSH di Ubuntu 20.04. Selain kaedah ini, kami juga akan berkongsi dengan anda beberapa petua tambahan untuk mendapatkan pelayan SSH anda sebagai bonus. Oleh itu, mari kita mulakan perbincangan menarik hari ini.

Kaedah Melindungi Pelayan SSH di Ubuntu 20.04:

Semua konfigurasi SSH disimpan dalam fail / etc / ssh / sshd_config. Fail ini dianggap sangat penting untuk fungsi normal pelayan SSH anda. Oleh itu, sebelum membuat perubahan pada fail ini, sangat disarankan agar anda membuat sandaran fail ini dengan menjalankan perintah berikut di terminal anda:

sudo cp / etc / ssh / sshd_config / etc / ssh / sshd_config.bakar


Sekiranya arahan ini dilaksanakan dengan jayanya, anda tidak akan mendapat output seperti yang ditunjukkan dalam gambar di bawah:

Setelah membuat cadangan fail ini, langkah ini bersifat opsional dan dilakukan jika anda ingin memeriksa semua pilihan yang saat ini diaktifkan dalam file konfigurasi ini. Anda boleh memeriksanya dengan menjalankan perintah berikut di terminal anda:

sudo sshd -T


Pilihan fail konfigurasi SSH yang diaktifkan sekarang ditunjukkan dalam gambar di bawah. Anda boleh menatal senarai ini untuk melihat semua pilihan.

Sekarang anda boleh mula mengamankan pelayan SSH anda sambil beralih dari langkah asas ke langkah lanjutan di Ubuntu 20.04.

Langkah Asas untuk mengamankan Pelayan SSH di Ubuntu 20.04:

Langkah asas untuk mendapatkan pelayan SSH di Ubuntu 20.04 adalah seperti berikut:

Langkah # 1: Membuka Fail Konfigurasi SSH:

Anda boleh membuka fail konfigurasi SSH dengan menjalankan perintah yang dinyatakan di bawah di terminal anda:

sudo nano / etc / ssh / sshd_config


Fail konfigurasi SSH ditunjukkan dalam gambar berikut:

Langkah # 2: Melumpuhkan Pengesahan Berdasarkan Kata Laluan:

Daripada menggunakan kata laluan untuk pengesahan, kunci SSH dianggap lebih selamat. Oleh itu, jika anda telah menghasilkan kunci SSH untuk pengesahan, maka anda mesti mematikan pengesahan berasaskan kata laluan. Untuk itu, anda perlu mencari pemboleh ubah "PasswordAuthentication", melepaskannya, dan menetapkan nilainya menjadi "tidak," seperti yang disorot pada gambar yang ditunjukkan di bawah:

Langkah # 3: Menolak / Menolak Kata Laluan Kosong:

Kadang kala, pengguna merasa senang untuk membuat kata laluan kosong demi menyelamatkan diri daripada menghafal kata laluan yang rumit. Amalan ini terbukti boleh memudaratkan keselamatan pelayan SSH anda. Oleh itu, anda perlu menolak semua percubaan pengesahan dengan kata laluan kosong. Untuk itu, anda perlu mencari pemboleh ubah "PermitEmptyPasswords" dan hanya melepaskannya kerana nilainya sudah ditetapkan ke "tidak" secara lalai, seperti yang disorot pada gambar berikut:

Langkah # 4: Melarang Masuk Akar:

Anda semestinya melarang log masuk root untuk melindungi penceroboh daripada mendapat akses peringkat root ke pelayan anda. Anda boleh melakukan ini dengan mencari pemboleh ubah "PermitRootLogin", melepaskannya, dan menetapkan nilainya menjadi "tidak," seperti yang disorot pada gambar yang ditunjukkan di bawah:

Langkah # 5: Menggunakan SSH Protocol 2:

Pelayan SSH boleh beroperasi pada dua protokol yang berbeza, i.e., Protokol 1 dan Protokol 2. Protokol 2 menerapkan ciri keselamatan yang lebih maju, sebab itulah ia lebih disukai daripada Protokol 1. Walau bagaimanapun, Protokol 1 adalah protokol lalai SSH, dan tidak dinyatakan secara eksplisit dalam fail konfigurasi SSH. Oleh itu, jika anda ingin bekerjasama dengan Protokol 2 dan bukannya Protokol 1, maka anda perlu secara jelas menambahkan baris "Protokol 2" ke fail konfigurasi SSH anda seperti yang disorot pada gambar berikut:

Langkah # 6: Menetapkan Waktu Sesi Sesi:

Kadang-kadang, pengguna meninggalkan komputer mereka tanpa pengawasan untuk waktu yang sangat lama. Sementara itu, setiap penyusup dapat masuk dan mendapatkan akses ke sistem anda sambil melanggar keselamatannya. Di sinilah konsep tamat masa sesi dimainkan. Fungsi ini digunakan untuk logout pengguna jika dia tidak aktif untuk waktu yang lama sehingga tidak ada pengguna lain yang dapat mengakses sistemnya.

Batas waktu ini dapat ditetapkan dengan mencari pemboleh ubah "ClientAliveInterval", melepaskannya, dan memberikan nilai apa pun (dalam beberapa saat) pilihan anda. Dalam kes kami, kami telah menetapkan nilai "300 saat" atau "5 minit". Ini bermaksud bahawa jika pengguna menjauhkan diri dari pelayan SSH selama "300 saat", maka dia akan keluar secara automatik seperti yang disorot pada gambar yang ditunjukkan di bawah:

Langkah # 7: Membolehkan Pengguna Khusus mengakses Pelayan SSH:

Pelayan SSH bukanlah pelayan yang aksesnya diperlukan oleh setiap pengguna lain. Oleh itu, aksesnya mesti dihadkan hanya untuk pengguna yang benar-benar memerlukannya. Untuk membolehkan pengguna tertentu mengakses pelayan SSH, anda perlu menambahkan pemboleh ubah bernama "AllowUsers" ke fail konfigurasi SSH dan kemudian menuliskan nama semua pengguna yang anda mahu membenarkan akses ke pelayan SSH yang dipisahkan oleh ruang. Dalam kes kami, kami hanya mahu membenarkan satu pengguna mengakses pelayan SSH. Itulah sebabnya kami hanya menambahkan namanya seperti yang disorot dalam gambar berikut:

Langkah # 8: Mengehadkan Bilangan Percubaan Pengesahan:

Setiap kali pengguna cuba mengakses pelayan, dan dia tidak dapat mengesahkan dirinya sendiri untuk pertama kalinya, dia cuba melakukannya lagi. Pengguna terus melakukan percubaan ini sehingga dan melainkan jika dia berjaya mengesahkan dirinya sehingga mendapat akses ke pelayan SSH. Ini dianggap sebagai amalan yang sangat tidak selamat kerana penggodam mungkin melancarkan Brute Force Attack (serangan yang berulang kali cuba meneka kata laluan sehingga perlawanan yang tepat dijumpai). Hasilnya, dia akan dapat akses ke pelayan SSH anda.

Itulah sebabnya sangat disarankan untuk membatasi jumlah percubaan pengesahan untuk mengelakkan serangan meneka kata laluan. Nilai lalai percubaan pengesahan ke pelayan SSH ditetapkan ke "6". Walau bagaimanapun, anda boleh mengubahnya bergantung pada tahap keselamatan yang anda perlukan. Untuk itu, anda perlu mencari pemboleh ubah "MaxAuthTries", melepaskannya, dan menetapkan nilainya ke nombor yang dikehendaki. Kami ingin mengehadkan percubaan pengesahan menjadi "3", seperti yang disorot dalam gambar yang ditunjukkan di bawah:

Langkah # 9: Menjalankan Pelayan SSH dalam Mod Ujian:

Sekarang, kami telah mengambil semua langkah asas untuk melindungi pelayan SSH kami di Ubuntu 20.04. Walau bagaimanapun, kami masih perlu memastikan bahawa pilihan yang baru kami konfigurasikan berfungsi dengan baik. Untuk itu, kami akan menyimpan dan menutup fail konfigurasi terlebih dahulu. Setelah melakukannya, kami akan cuba menjalankan pelayan SSH kami dalam mod ujian. Sekiranya ia berjaya dijalankan dalam mod ujian, maka ini menunjukkan bahawa tidak ada kesalahan dalam fail konfigurasi anda. Anda boleh menjalankan pelayan SSH anda dalam mod ujian dengan menjalankan perintah berikut di terminal anda:

sudo sshd -t


Apabila perintah ini dilaksanakan dengan sukses, perintah tersebut tidak akan menampilkan output pada terminal, seperti yang ditunjukkan pada gambar di bawah. Namun, jika ada kesalahan dalam file konfigurasi anda, maka menjalankan perintah ini akan membuat kesalahan tersebut di terminal. Anda kemudiannya seharusnya memperbaiki kesilapan tersebut. Barulah anda dapat melangkah lebih jauh.

Langkah # 10: Muat semula Pelayan SSH dengan Konfigurasi Baru:

Sekarang apabila pelayan SSH berjaya dijalankan dalam mod ujian, kita perlu memuatkannya semula sehingga dapat membaca fail konfigurasi baru,.e., perubahan yang telah kami buat pada fail konfigurasi SSH dalam langkah-langkah yang ditunjukkan di atas. Untuk memuatkan semula pelayan SSH dengan konfigurasi baru, anda perlu menjalankan perintah berikut di terminal anda:

perkhidmatan sudo tambah nilai sshd


Sekiranya pelayan SSH anda berjaya dimulakan semula, terminal tidak akan memaparkan output seperti yang ditunjukkan dalam gambar di bawah:

Langkah Lanjutan untuk mengamankan Pelayan SSH di Ubuntu 20.04:

Setelah melakukan semua langkah asas untuk mengamankan pelayan SSH di Ubuntu 20.04, anda akhirnya dapat menuju ke langkah lanjutan. Ini hanyalah langkah ke hadapan untuk melindungi pelayan SSH anda. Namun, jika anda hanya ingin mencapai tahap keselamatan yang sederhana, maka langkah-langkah yang dijelaskan di atas akan mencukupi. Tetapi jika anda ingin pergi lebih jauh, anda boleh mengikuti langkah-langkah yang dijelaskan di bawah:

Langkah # 1: Membuka ~ /.Fail ssh / authority_keys:

Langkah-langkah asas untuk melindungi pelayan SSH dilaksanakan dalam fail konfigurasi SSH. Ini bermaksud bahawa dasar ini akan berlaku baik untuk semua pengguna yang akan cuba mengakses pelayan SSH. Ini juga menyiratkan bahawa langkah-langkah asas mewakili kaedah generik untuk melindungi pelayan SSH. Namun, jika kita berusaha mempertimbangkan prinsip "Pertahanan dalam Kedalaman", maka kita akan menyedari bahawa kita perlu mengamankan setiap kunci SSH secara berasingan. Ini dapat dilakukan dengan menentukan parameter keselamatan eksplisit untuk setiap kunci individu. Kekunci SSH disimpan di ~ /.fail ssh / Author_keys, jadi pertama-tama kita akan mengakses fail ini untuk mengubah parameter keselamatan. Kami akan menjalankan perintah berikut di terminal untuk mengakses ~ /.fail ssh / authority_keys:

sudo nano ~ /.ssh / kunci_kesahan

Menjalankan perintah ini akan membuka fail yang ditentukan dengan penyunting nano. Namun, anda juga boleh menggunakan editor teks pilihan lain untuk membuka fail ini. Fail ini akan mengandungi semua kunci SSH yang telah anda hasilkan setakat ini.

Langkah # 2: Menentukan Konfigurasi Khusus untuk Kekunci Khusus:

Untuk mencapai tahap keselamatan yang lebih maju, terdapat lima pilihan berikut:

Pilihan ini boleh ditulis sebelum kunci SSH pilihan anda untuk menjadikannya tersedia untuk kunci tersebut. Malah lebih daripada satu pilihan juga dapat dikonfigurasi untuk satu kunci SSH. Sebagai contoh, anda ingin melumpuhkan pemajuan port untuk kunci tertentu atau, dengan kata lain, anda ingin melaksanakan pemajuan tanpa port untuk kunci tertentu, maka sintaksnya akan seperti berikut:

no-port-forwarding DesiredSSHKey

Di sini, dan bukannya DesiredSSHKey, anda akan mempunyai kunci SSH sebenar dalam ~ / anda.fail ssh / authority_keys. Setelah menggunakan pilihan ini untuk kunci SSH yang anda mahukan, anda perlu menyimpan ~ /.fail ssh / authority_keys dan tutup. Kebaikan mengenai kaedah lanjutan ini adalah bahawa ia tidak memerlukan anda memuat semula pelayan SSH anda setelah melakukan pengubahsuaian ini. Sebaliknya perubahan ini akan dibaca oleh pelayan SSH anda secara automatik.

Dengan cara ini, anda akan dapat mengamankan setiap kunci SSH secara mendalam dengan menggunakan mekanisme keselamatan yang maju.

Beberapa Petua Tambahan untuk mengamankan Pelayan SSH di Ubuntu 20.04:

Selain dari semua langkah asas dan lanjutan yang telah kami ambil di atas, terdapat juga beberapa petua tambahan yang terbukti sangat baik untuk mengamankan pelayan SSH di Ubuntu 20.04. Petua tambahan ini telah dibincangkan di bawah:

Pastikan Data anda Disulitkan:

Data yang terdapat di pelayan SSH anda, serta data yang masih dalam perjalanan, mesti dienkripsi dan juga dengan algoritma penyulitan yang kuat. Ini bukan sahaja akan melindungi integriti dan kerahsiaan data anda tetapi juga akan mengelakkan keselamatan seluruh pelayan SSH anda terganggu.

Pastikan Perisian Anda Terkini:

Perisian yang dijalankan pada pelayan SSH anda mesti terkini. Ini dilakukan untuk memastikan bahawa tiada bug keselamatan dalam perisian anda tetap tidak diawasi. Sebaliknya mereka harus ditambal tepat pada waktunya. Ini akan menyelamatkan anda dari kemungkinan bahaya dalam jangka masa panjang dan juga akan mengelakkan pelayan anda tidak berfungsi atau tidak dapat digunakan kerana masalah keselamatan.

Pastikan SELinux diaktifkan:

SELinux adalah mekanisme yang menjadi landasan keamanan dalam sistem berasaskan Linux. Ia berfungsi dengan melaksanakan Mandatory Access Control (MAC). Ini menerapkan model kawalan akses ini dengan menentukan peraturan akses dalam polisi keselamatannya. Mekanisme ini diaktifkan secara lalai. Namun, pengguna diizinkan untuk mengubah tetapan ini pada bila-bila masa. Ini bermaksud bahawa mereka dapat mematikan SELinux kapan pun mereka mahu. Walau bagaimanapun, sangat disarankan agar anda sentiasa mengaktifkan SELinux supaya dapat mengelakkan pelayan SSH anda dari semua kemungkinan bahaya.

Gunakan Dasar Kata Laluan Yang Ketat:

Sekiranya anda telah melindungi pelayan SSH anda dengan kata laluan, maka anda mesti membuat dasar kata laluan yang kuat. Sebaik-baiknya, kata laluan hendaklah melebihi 8 aksara. Mereka harus diganti setelah waktu yang ditentukan, katakanlah, setelah setiap 2 bulan. Mereka tidak boleh mengandungi kata-kata kamus; sebaliknya, mereka mestilah gabungan huruf, angka, dan watak khas. Begitu juga, anda boleh menentukan beberapa langkah ekstra ketat lain untuk dasar kata laluan anda untuk memastikannya cukup kuat.

Pantau dan Jaga Log Audit Pelayan SSH anda:

Sekiranya ada yang tidak kena dengan pelayan SSH anda, pembantu pertama anda boleh menjadi log audit. Oleh itu, anda mesti terus menyimpan log tersebut supaya anda dapat mengesan semula punca masalah tersebut. Lebih-lebih lagi, jika anda terus memantau kesihatan dan pengoperasian pelayan SSH anda secara berterusan, maka ini juga akan mencegah masalah besar dari awal.

Kekalkan Sandaran Berkala Data anda:

Akhir sekali, anda harus sentiasa menyimpan sandaran keseluruhan pelayan SSH anda. Melakukan ini bukan sahaja menyelamatkan data anda daripada rosak atau hilang sepenuhnya; sebaliknya, anda juga boleh menggunakan pelayan sandaran ini setiap kali pelayan utama anda dimatikan. Ini juga akan mengehadkan waktu henti pelayan dan memastikan ketersediaannya.

Kesimpulan:

Dengan mengurus semua langkah yang telah ditentukan dalam artikel ini, anda dapat dengan mudah mengamankan atau mengeraskan pelayan SSH anda di Ubuntu 20.04. Walau bagaimanapun, jika anda berasal dari latar belakang Keselamatan Maklumat, maka anda mesti menyedari hakikat ini bahawa tidak ada keselamatan seperti 100%. Yang kita dapat hanyalah janji usaha terbaik, dan usaha terbaik itu hanya akan terjamin sehingga masa itu juga akan dilanggar. Itulah sebabnya walaupun setelah mengambil semua langkah ini, anda tidak boleh mengatakan bahawa pelayan SSH anda 100% selamat; sebaliknya, ia mungkin mempunyai kelemahan seperti yang tidak pernah anda fikirkan. Kerentanan seperti itu hanya dapat diatasi jika kita mengawasi pelayan SSH kita dan terus memperbaruinya bila diperlukan.

Cara menukar saiz, warna & skema penunjuk dan kursor tetikus pada Windows 10
Penunjuk dan kursor tetikus di Windows 10 adalah aspek yang sangat penting dalam sistem operasi. Ini boleh dikatakan untuk sistem operasi lain juga, j...
Enjin Permainan Sumber Percuma dan Terbuka untuk Membangunkan Permainan Linux
Artikel ini akan merangkumi senarai enjin permainan sumber percuma dan terbuka yang dapat digunakan untuk mengembangkan permainan 2D dan 3D di Linux. ...
Shadow of the Tomb Raider untuk Tutorial Linux
Shadow of the Tomb Raider adalah penambahan kedua belas untuk siri Tomb Raider - francais permainan aksi-pengembaraan yang dibuat oleh Eidos Montreal....