Aktualisieren Sie die Sicherheit von Secure Shell mit ein paar einfachen Schritten

Secure Shell wird fast immer als sicherer Ersatz für Telnet eingesetzt. Dies ist das Standardverhalten für jeden Administrator. Das Problem ist jedoch, dass Secure Shell sofort nicht so sicher ist, wie es nur sein kann. Es gibt viele Möglichkeiten, diese Sicherheitsmaßnahme auf ein viel höheres Niveau zu heben. Welche sind jedoch am schnellsten zu implementieren, um die höchste Sicherheit zu erzielen? Lassen Sie uns graben und herausfinden.

SSH-Schlüsselauthentifizierung

Unabhängig davon, wie Sie es aufteilen, wenn Sie ein Kennwort zum Anmelden verwenden, kann dieses Kennwort geknackt werden. Das ist eine Sicherheitslücke im Warten. Sie können dies umgehen, indem Sie die SSH-Schlüsselauthentifizierung verwenden. Dazu müssen Sie lediglich einen Schlüssel generieren und den Schlüssel dann auf die richtigen Maschinen kopieren. Hier sind die Schritte dazu (HINWEIS: Diese Schritte werden auf einem Ubuntu-Client und -Server dargestellt):

Auf dem lokalen Computer

Öffnen Sie ein Terminalfenster und geben Sie den Befehl ssh-keygen -t dsa ein. Dieser Befehl generiert einen öffentlichen Schlüssel, der dann mit dem Befehl ssh-copy-id -i ~ / .ssh / id_dsa.pub auf Ihren Server kopiert wird, wobei Benutzername der tatsächliche Benutzername auf dem Remotecomputer und Ziel ist die tatsächliche Adresse des Remote-Computers.

Wenn Sie nun versuchen, sich am Remote-Computer anzumelden, werden Sie nach der Passphrase des ZERTIFIKATS und nicht nach dem Benutzer gefragt.

Wenn Sie den Grafikdesktop verwenden, können Sie auch auf System | klicken Einstellungen | Passwörter und Verschlüsselungsschlüssel. Wählen Sie in dieser GUI (siehe Abbildung A ) die Registerkarte Meine persönlichen Schlüssel aus und klicken Sie auf Datei | Neu | Sichern Sie den Shell-Schlüssel und führen Sie den Erstellungsassistenten durch.

Abbildung A.

Mit diesem Tool können Sie alle Ihre Passwörter und Ihre persönlichen Schlüssel verwalten.

Klicken Sie nach dem Erstellen des Schlüssels mit der rechten Maustaste auf den Schlüssel und wählen Sie Schlüssel für sichere Shell konfigurieren. In dem neuen Fenster müssen Sie einen Computernamen (den Remotecomputer) und einen Anmeldenamen hinzufügen. HINWEIS: Sie müssen bereits den Anmeldenamen auf dem Remotecomputer haben.

Wenn Sie Windows verwenden, um sich beim SSH-fähigen Server anzumelden, können Sie das Dienstprogramm PuTTYgen verwenden. Laden Sie PuTTYgen herunter, starten Sie es, klicken Sie auf die Schaltfläche Generieren, bewegen Sie die Maus (während der Erstellungsphase), speichern Sie den öffentlichen Schlüssel und kopieren Sie den öffentlichen Schlüssel auf den SSH-Server.

HINWEIS: Vorsichtshalber sollten Sie immer kennwortgeschützte Schlüssel erzwingen. Wenn Sie die Schlüsselauthentifizierungsmethode zulassen, stellen Sie möglicherweise fest, dass einige Benutzer kennwortlose Schlüssel erstellen (zur Vereinfachung der Verwendung). Das ist nicht sicher.

Blockieren Sie den Root-Zugriff

Dieser ist kritisch und sollte auf ALLEN Computern durchgeführt werden, die einen sicheren Shell-Zugriff ermöglichen. Öffnen Sie die Datei / etc / ssh / sshd_config und suchen Sie nach der Zeile:

 PermitRootLogin 

Stellen Sie sicher, dass die obige Zeile auf Nein gesetzt ist. Die richtige Zeile sollte lauten:

 PermitRootLogin-Nr 

Nachdem Sie die Datei korrigiert und gespeichert haben, geben Sie den folgenden Befehl ein:

 sudo /etc/init.d/ssh Neustart 

Wenn Sie versuchen, sich mit ssh als Root-Benutzer am Server anzumelden, wird Ihnen der Zugriff verweigert.

Ändern Sie die Portnummer

Ich verstehe, dass Sicherheit durch Verschleierung nicht wirklich Sicherheit ist. Aber im Falle einer sicheren Hülle, je mehr desto besser. Daher bin ich ein großer Befürworter der Änderung der sicheren Shell vom Standardport 22 in einen nicht standardmäßigen Port. Öffnen Sie dazu die Datei / etc / ssh / sshd_config und suchen Sie nach der Zeile (oben):

 Port 22 

Ändern Sie diese Portnummer, um einen nicht standardmäßigen Port wiederzugeben, der nicht verwendet wird. Sie müssen sicherstellen, dass alle Benutzer, die eine Verbindung zu diesem Computer herstellen, über diese Änderung der Portnummer informiert werden. Sie möchten den SSH-Daemon auch neu starten, nachdem Sie die Änderung vorgenommen haben.

Um über die Befehlszeile eine Verbindung zu einem nicht standardmäßigen Port herzustellen, verwenden Sie SSH wie folgt:

 ssh -p PORT_NUMBER -v -l USERNAME IPADDRESS 

Wenn PORT_NUMBER der nicht standardmäßige Port ist, ist USERNAME der Benutzername, mit dem eine Verbindung hergestellt werden soll, und IPADDRESS ist die Adresse des Remotecomputers.

Abschließende Gedanken

Nach dem Auspacken ist Secure Shell ein ziemlich sicheres Mittel, um eine Verbindung zu einem Remote-Computer herzustellen. Aber wenn Sie die Standardeinstellung leicht ein paar Schritte weiter in den Bereich der sehr sicheren Sicherheit bringen können, zahlt sich die geringe Zeit aus, die Sie dafür aufwenden werden. Als Best-Practice-Standard sollten Sie immer mindestens das Root-Login deaktivieren ... alles darüber hinaus ist nur das i-Tüpfelchen.

© Copyright 2021 | pepebotifarra.com