, CC BY-SA
An-diugh, tha stèidheachadh frithealaiche air aoigheachd na chùis mionaid no dhà agus beagan chlican den luchag. Ach dìreach às deidh a chuir air bhog, tha e ga fhaighinn fhèin ann an àrainneachd nàimhdeil, leis gu bheil e fosgailte don eadar-lìn gu lèir mar nighean neo-chiontach aig disco rocker. Lorgaidh luchd-sganaidh e gu sgiobalta agus lorgaidh iad na mìltean de bhotan air an sgrìobhadh gu fèin-ghluasadach a bhios a’ sgùradh an lìonra a’ lorg so-leòntachd agus rèiteachadh ceàrr. Tha beagan rudan ann a bu chòir dhut a dhèanamh dìreach às deidh a chuir air bhog gus dèanamh cinnteach à dìon bunaiteach.
Clàr-innse
Cleachdaiche neo-root
Is e a 'chiad rud a dh'fheumas tu a dhèanamh a bhith a' cruthachadh neach-cleachdaidh nach eil freumh. Is e am puing gu bheil an neach-cleachdaidh root sochairean iomlan san t-siostam, agus ma cheadaicheas tu dha rianachd iomallach, nì thu leth na h-obrach airson an neach-tarraing, a’ fàgail ainm-cleachdaidh dligheach dha.
Mar sin, feumaidh tu cleachdaiche eile a chruthachadh, agus rianachd iomallach a dhì-cheadachadh tro SSH airson root.
Tha cleachdaiche ùr air a chruthachadh leis an àithne useradd:
useradd [options] <username>
An uairsin thèid facal-faire a chuir ris leis an àithne passwd:
passwd <username>
Mu dheireadh, feumaidh an cleachdaiche seo a bhith air a chur ri buidheann aig a bheil còir òrdughan a chuir an gnìomh le sochairean àrdaichte sudo. A rèir an t-sgaoilidh Linux, faodaidh iad seo a bhith nam buidhnean eadar-dhealaichte. Mar eisimpleir, ann an CentOS agus Red Hat tha neach-cleachdaidh air a chur ri buidheann wheel:
usermod -aG wheel <username>
Air Ubuntu tha e air a chur ris a' chuantal sudo:
usermod -aG sudo <username>
Iuchraichean an àite faclan-faire SSH
Tha feachd brùideil no aodion facal-faire na vectar ionnsaigh àbhaisteach, agus mar sin tha e nas fheàrr dearbhadh facal-faire a chuir dheth ann an SSH (Secure Shell) agus prìomh dhearbhadh a chleachdadh na àite.
Tha diofar phrògraman ann gus protocol SSH a bhuileachadh, leithid и , ach is e OpenSSH am fear as mòr-chòrdte. A’ stàladh an neach-dèiligidh OpenSSH air Ubuntu:
sudo apt install openssh-clientStàladh an fhrithealaiche:
sudo apt install openssh-serverA’ tòiseachadh an daemon SSH (sshd) air frithealaiche Ubuntu:
sudo systemctl start sshdTòisich gu fèin-ghluasadach an daemon air a h-uile bròg:
sudo systemctl enable sshd
Bu chòir a thoirt fa-near gu bheil am pàirt frithealaiche OpenSSH a ’toirt a-steach pàirt an neach-dèiligidh. Is e sin, troimhe openssh-server faodaidh tu ceangal ri frithealaichean eile. A bharrachd air an sin, bhon inneal teachdaiche agad faodaidh tu tunail SSH a chuir air bhog bho fhrithealaiche iomallach gu aoigh treas-phàrtaidh, agus an uairsin bidh an aoigh treas-phàrtaidh den bheachd gur e am frithealaiche iomallach a tha mar thùs iarrtasan. Gnìomh air leth goireasach airson a bhith a’ falach an t-siostam agad. Airson tuilleadh fiosrachaidh, faic an artaigil. .
Mar as trice chan eil feum air frithealaiche làn-chuimseach a chuir a-steach air inneal an neach-dèiligidh gus casg a chuir air ceangal iomallach ris a’ choimpiutair (airson adhbharan tèarainteachd).
Mar sin, airson an neach-cleachdaidh ùr agad, feumaidh tu an toiseach iuchraichean SSH a ghineadh air a’ choimpiutair às am faigh thu cothrom air an fhrithealaiche:
ssh-keygen -t rsa
Tha an iuchair phoblach air a stòradh ann am faidhle .pub agus tha e coltach ri sreath de charactaran air thuaiream a thòisicheas le ssh-rsa.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname
An uairsin, mar fhreumh, cruthaich eòlaire SSH air an fhrithealaiche ann an eòlaire dachaigh an neach-cleachdaidh agus cuir an iuchair phoblach SSH ris an fhaidhle authorized_keysa’ cleachdadh deasaiche teacsa mar Vim:
mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keysvim /home/user_name/.ssh/authorized_keysMu dheireadh, suidhich na ceadan ceart airson an fhaidhle:
chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keysagus atharraich seilbh don neach-cleachdaidh seo:
chown -R username:username /home/username/.sshAir taobh an neach-dèiligidh, feumaidh tu far a bheil an iuchair dhìomhair airson dearbhadh a shònrachadh:
ssh-add DIR_PATH/keylocationA-nis faodaidh tu logadh a-steach don fhrithealaiche fon ainm-cleachdaidh leis an iuchair seo:
ssh [username]@hostnameÀs deidh cead fhaighinn, faodaidh tu an àithne scp a chleachdadh gus faidhlichean a chopaigeadh, an goireas airson siostam faidhle no clàran a chuir suas air astar.
Tha e ciallach grunn leth-bhreacan cùl-taic a dhèanamh den iuchair phrìobhaideach, oir ma chuireas tu dheth dearbhadh facal-faire agus ma chailleas tu e, cha bhith dòigh agad air logadh a-steach don t-seirbheisiche agad fhèin idir.
Mar a chaidh ainmeachadh gu h-àrd, ann an SSH feumaidh tu dearbhadh a dhì-cheadachadh airson root (air an adhbhar seo chruthaich sinn cleachdaiche ùr).
Air CentOS / Red Hat lorg sinn an loidhne PermitRootLogin yes anns an fhaidhle rèiteachaidh /etc/ssh/sshd_config agus atharraich e:
PermitRootLogin no
Air Ubuntu cuir an loidhne PermitRootLogin no dhan fhaidhle rèiteachaidh 10-my-sshd-settings.conf:
sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.confÀs deidh dhut dearbhadh gu bheil an neach-cleachdaidh ùr air a dhearbhadh le bhith a ’cleachdadh an iuchair aca, faodaidh tu dearbhadh facal-faire a dhì-cheadachadh gus cuir às don chunnart bho aodion facal-faire no feachd brùideil. A-nis, gus faighinn chun t-seirbheisiche, feumaidh an neach-ionnsaigh an iuchair phrìobhaideach fhaighinn.
Air CentOS / Red Hat lorg sinn an loidhne PasswordAuthentication yes anns an fhaidhle rèiteachaidh /etc/ssh/sshd_config agus atharraich e mar a leanas:
PasswordAuthentication no
Air Ubuntu cuir an loidhne PasswordAuthentication no a fhaidhleadh 10-my-sshd-settings.conf:
sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.confAirson stiùireadh air mar as urrainn dhut dearbhadh dà-fhactar a chomasachadh tro SSH, faic .
Balla-teine
Bidh am balla-teine a’ dèanamh cinnteach nach tèid ach trafaic air na puirt a cheadaicheas tu gu dìreach chun t-seirbheisiche. Bidh seo a ’dìon an aghaidh brathadh air puirt a tha air an comasachadh gu tubaisteach le seirbheisean eile, a tha gu mòr a’ lughdachadh uachdar an ionnsaigh.
Mus stàlaich thu balla-teine, feumaidh tu dèanamh cinnteach gu bheil SSH air a ghabhail a-steach don liosta às-dùnadh agus nach tèid a bhacadh. Rud eile, às deidh dhuinn am balla-teine a thòiseachadh, cha bhith e comasach dhuinn ceangal ris an fhrithealaiche.
Tha cuairteachadh Ubuntu a’ tighinn le Balla-teine neo-fhillte (), agus le CentOS/Red Hat - .
A’ ceadachadh SSH sa bhalla-teine air Ubuntu:
sudo ufw allow ssh
Air CentOS / Red Hat cleachdaidh sinn an àithne firewall-cmd:
sudo firewall-cmd --zone=public --add-service=ssh --permanentÀs deidh a 'mhodh-obrachaidh seo, faodaidh tu tòiseachadh air a' bhalla-teine.
Air CentOS / Red Hat bidh sinn a’ cur air bhog an t-seirbheis systemd airson firewalld:
sudo systemctl start firewalld
sudo systemctl enable firewalldAir Ubuntu bidh sinn a’ cleachdadh an àithne a leanas:
sudo ufw enable
Fail2Ban
seirbheis a’ mion-sgrùdadh logaichean frithealaiche agus a’ cunntadh an àireamh de dh’ oidhirpean ruigsinneachd bho gach seòladh IP. Bidh na roghainnean a’ sònrachadh nan riaghailtean airson cia mheud oidhirp ruigsinneachd a tha ceadaichte ann an ùine shònraichte - às deidh sin tha an seòladh IP seo air a bhacadh airson ùine sònraichte. Mar eisimpleir, leigidh sinn le 5 oidhirpean dearbhaidh neo-shoirbheachail tro SSH taobh a-staigh ùine 2 uairean, agus às deidh sin bidh sinn a’ bacadh an t-seòladh IP seo airson 12 uairean.
A’ stàladh Fail2Ban air CentOS agus Red Hat:
sudo yum install fail2banStàladh air Ubuntu agus Debian:
sudo apt install fail2banCur air bhog:
systemctl start fail2ban
systemctl enable fail2ban
Tha dà fhaidhle rèiteachaidh aig a’ phrògram: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. Tha cuingeachaidhean casg air an sònrachadh san dàrna faidhle.
Tha prìosan airson SSH air a chomasachadh gu bunaiteach le roghainnean bunaiteach (oidhirpean 5, eadar-ama 10 mionaidean, casg airson 10 mionaidean).
[DEFAULT] neamhairdcommand = bantime = 10m lorg àm = 10m maxretry = 5
A bharrachd air SSH, faodaidh Fail2Ban seirbheisean eile a dhìon air frithealaiche lìn nginx no Apache.
Ùrachaidhean tèarainteachd fèin-ghluasadach
Mar a tha fios agad, lorgar so-leòntachd ùr an-còmhnaidh anns a h-uile prògram. Às deidh don fhiosrachadh a bhith air fhoillseachadh, thèid brathan a chur ri pacaidean brath mòr-chòrdte, a bhios luchd-hackers agus deugairean a’ cleachdadh gu farsaing nuair a bhios iad a’ sganadh a h-uile seirbheisiche ann an sreath. Mar sin, tha e glè chudromach ùrachaidhean tèarainteachd a chuir a-steach cho luath ‘s a bhios iad rim faighinn.
Tha ùrachaidhean tèarainteachd fèin-ghluasadach aig frithealaichean Ubuntu air an comasachadh gu bunaiteach, agus mar sin chan eil feum air ceumannan a bharrachd.
Air CentOS / Red Hat feumaidh tu an aplacaid a stàladh agus cuir air an timer:
sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timerSgrùdadh timer:
sudo systemctl status dnf-automatic.timer
Ag atharrachadh puirt bunaiteach
Chaidh SSH a leasachadh ann an 1995 an àite telnet (port 23) agus ftp (port 21), agus mar sin is e Tatu Iltonen ùghdar a’ phrògraim , agus chaidh aontachadh le IANA.
Gu nàdarra, tha fios aig a h-uile neach-ionnsaigh dè am port SSH a tha a’ ruith air - agus scan e còmhla ri puirt àbhaisteach eile gus an dreach bathar-bog a lorg, gus faclan-faire freumhan àbhaisteach a sgrùdadh, agus mar sin air adhart.
Bidh atharrachadh puirt àbhaisteach - obfuscation - a ’lughdachadh na tha de thrafaig sgudail, meud nan logaichean agus an luchd air an fhrithealaiche grunn thursan, agus cuideachd a’ lughdachadh uachdar an ionnsaigh. Ged a tha cuid (tèarainteachd tro doilleireachd). Is e an t-adhbhar gu bheil an dòigh seo an aghaidh a 'bhunait . Mar sin, mar eisimpleir, Institiud Nàiseanta Inbhean is Teicneòlais na SA a’ nochdadh gu bheil feum air ailtireachd frithealaiche fosgailte: “Cha bu chòir tèarainteachd siostam a bhith an urra ri dìomhaireachd buileachadh a phàirtean,” tha an sgrìobhainn ag ràdh.
Ann an teòiridh, tha atharrachadh nam puirt bunaiteach an aghaidh cleachdaidhean ailtireachd fosgailte. Ach ann an cleachdadh, tha na tha de thrafaig droch-rùnach a’ dol sìos, agus mar sin is e tomhas sìmplidh agus èifeachdach a tha seo.
Faodar àireamh a’ phuirt a rèiteachadh le bhith ag atharrachadh an stiùiridh Port 22 anns an fhaidhle rèiteachaidh . Tha e cuideachd air a chomharrachadh le paramadair -p <port> в . Cliant SSH agus prògraman cuideachd taic a thoirt don paramadair -p <port>.
Parameter -p <port> faodar a chleachdadh gus àireamh a’ phuirt a shònrachadh nuair a bhios tu a’ ceangal a’ cleachdadh an àithne ssh ann an Linux. ANNS и scp paramadair ga chleachdadh -P <port> (prìomh-bhaile P). Le bhith ga shònrachadh bhon loidhne-àithne tha sin a’ dol thairis air luach sam bith anns na faidhlichean rèiteachaidh.
Ma tha tòrr luchd-frithealaidh ann, faodaidh cha mhòr a h-uile gnìomh sin gus frithealaiche Linux a dhìon a bhith fèin-ghluasadach ann an sgriobt. Ach mura h-eil ann ach aon fhrithealaiche, tha e nas fheàrr smachd a chumail air a ’phròiseas le làimh.
Air na Còraichean Sanasachd
Òrdaich agus tòisich ag obair sa bhad! rèiteachadh sam bith agus le siostam obrachaidh sam bith taobh a-staigh mionaid. Leigidh an rèiteachadh as àirde dhut spreadhadh - 128 CPU cores, 512 GB RAM, 4000 GB NVMe. Gu math epic :)
Source: www.habr.com