, CC BY-SA
I enei wa, ko te whakaara i tetahi tūmau i runga i te manaaki he take mo nga meneti e rua me etahi patene kiore. Engari i muri tonu i te whakarewatanga, ka kitea e ia i roto i te taiao kino, no te mea kei te tuwhera ia ki te Ipurangi katoa ano he kotiro harakore i roto i te rocker disco. Ka kitea tere e nga kaitirotiro ka kitea nga mano tini o nga karetao kua tuhia aunoatia e tarai ana i te whatunga rapu whakaraeraetanga me nga whirihora pohehe. He iti nga mea hei mahi tika i muri i te whakarewatanga hei whakarite i te whakamarumaru taketake.
Tuhinga
Kaiwhakamahi kore-pakiaka
Ko te mahi tuatahi ko te hanga i tetahi kaiwhakamahi kore-pakiaka mo koe. Ko te kaupapa ko te kaiwhakamahi root mana nui i roto i te pūnaha, a ki te tukua e koe ki a ia te whakahaere mamao, ka mahi koe i te haurua o te mahi mo te hacker, ka waiho he ingoa ingoa tika mo ia.
Na reira, me hanga e koe tetahi atu kaiwhakamahi, me te whakakore i te whakahaere mamao ma te SSH mo te pakiaka.
Ka timata tetahi kaiwhakamahi hou ma te whakahau useradd:
useradd [options] <username> Na ka taapirihia he kupuhipa mo taua mea me te whakahau passwd:
passwd <username> Ka mutu, me taapiri tenei kaiwhakamahi ki tetahi roopu e whai mana ana ki te whakahaere i nga whakahau teitei sudo. I runga i te tohatoha Linux, he roopu rereke pea enei. Hei tauira, i roto i te CentOS me te Red Hat, ka whakauruhia te kaiwhakamahi ki te roopu wheel:
usermod -aG wheel <username> I Ubuntu ka taapirihia ki te roopu sudo:
usermod -aG sudo <username>
Kī hei utu mo nga kupuhipa SSH
Ko te kaha tutu, te turuturu kupuhipa ranei he tohu whakaeke paerewa, no reira he pai ki te whakakore i te motuhēhēnga kupuhipa i roto i te SSH (Secure Shell) me te whakamahi i te motuhēhēnga matua.
He maha nga kaupapa mo te whakatinana i te kawa SSH, penei i и , engari ko te mea rongonui ko OpenSSH. Te whakauru i te kiritaki OpenSSH ki Ubuntu:
sudo apt install openssh-clientTāutatanga Tūmau:
sudo apt install openssh-serverKa tiimata te SSH daemon (sshd) i runga i te tūmau Ubuntu:
sudo systemctl start sshdTīmata aunoatia te daemon ki ia pūtu:
sudo systemctl enable sshd Me tohu ko te waahanga tūmau o OpenSSH kei roto te waahanga kiritaki. Arā, mā openssh-server ka taea e koe te hono atu ki etahi atu tūmau. I tua atu, mai i to miihini kaihoko, ka taea e koe te tiimata i te kohanga SSH mai i tetahi kaitoro mamao ki tetahi kaihautu tuatoru, katahi ka whakaarohia e te kaihautu tuatoru te tūmau mamao hei puna o nga tono. He waahanga tino pai mo te huna i to punaha. Tirohia te tuhinga mo nga taipitopito .
I runga i te miihini kiritaki, karekau he tikanga ki te whakauru i tetahi kaitoi tuuturu kia kore ai e taea te hono mamao ki te rorohiko (mo nga take haumaru).
Na, mo to kaiwhakamahi hou, me whakaputa e koe nga taviri SSH i runga i te rorohiko ka uru koe ki te tūmau:
ssh-keygen -t rsa Ka penapena te kī tūmatanui ki tētahi kōnae .pub me te ahua o te aho o nga tohu matapōkere ka tiimata me te ssh-rsa.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname
Na, mai i raro i te putake, hanga he whaiaronga SSH i runga i te tūmau i roto i te whaiaronga kāinga o te kaiwhakamahi, me te tāpiri i te kī tūmatanui SSH ki te kōnae authorized_keys, ma te whakamahi i te ētita tuhinga penei i a Vim:
mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keysvim /home/user_name/.ssh/authorized_keysKa mutu, tautuhia nga whakaaetanga tika mo te konae:
chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keysme te huri i te mana ki tenei kaiwhakamahi:
chown -R username:username /home/username/.sshI te taha o te kiritaki, me tohu koe i te waahi o te ki huna mo te motuhēhēnga:
ssh-add DIR_PATH/keylocationKa taea e koe te takiuru ki te tūmau i raro i te ingoa kaiwhakamahi ma te whakamahi i tenei ki:
ssh [username]@hostnameI muri i te whakaaetanga, ka taea e koe te whakamahi i te whakahau scp ki te kape i nga konae, te taputapu ki te whakairi mamao i tetahi punaha konae, raarangi whaiaronga ranei.
He mea tika kia mahia etahi kape taapiri mo te kii motuhake, na te mea ka whakakorehia e koe te whakamotuhēhēnga kupuhipa ka ngaro, karekau koe e whai huarahi ki te takiuru ki to ake kaimau.
Ka rite ki te korero i runga ake nei, i roto i te SSH me whakakorehia te motuhēhēnga mo te pakiaka (koinei te take i timata ai matou he kaiwhakamahi hou).
I runga i te CentOS / Red Hat ka kitea e matou te raina PermitRootLogin yes i te kōnae whirihora /etc/ssh/sshd_config a hurihia:
PermitRootLogin no I runga i te Ubuntu taapirihia te raina PermitRootLogin no ki te kōnae whirihora 10-my-sshd-settings.conf:
sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.confWhai muri i te manatoko kei te whakamotuhēhē te kaiwhakamahi hōu me tana kī, ka taea e koe te whakakore i te motuhēhēnga kupuhipa ki te whakakore i te tūponotanga o te rerenga o te kupuhipa me te kaha kino. Inaianei, kia uru atu ki te tuumau, me tiki e te kaitukino tetahi taviri motuhake.
I runga i te CentOS / Red Hat ka kitea e matou te raina PasswordAuthentication yes i te kōnae whirihora /etc/ssh/sshd_config ka huri kia penei:
PasswordAuthentication no I runga i te Ubuntu taapirihia te raina PasswordAuthentication no ki te konae 10-my-sshd-settings.conf:
sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.confMo nga tohutohu mo te whakamotuhēhēnga-rua mā te SSH, tirohia .
pātūahi
Ka whakarite te paahi ahi ko nga waka i runga i nga tauranga ka tukuna tika ka haere ki te tūmau. Ka parea tenei ki te whakamahi i nga tauranga e kore e taea e etahi atu ratonga, ka tino whakaiti i te mata whakaeke.
I mua i te whakauru i te papangaahi, me mohio koe kei te whakauruhia a SSH ki te rarangi whakakore, ka kore e aukati. Ki te kore, i muri i te tiimata o te papangaahi, kaore e taea e matou te hono atu ki te tūmau.
Ko te tohatoha Ubuntu ka tae mai me te Paahi Paeahi Kore (), me te CentOS/Red Hat - .
Whakaaetia te SSH i te papangaahi i runga i te Ubuntu:
sudo ufw allow ssh I runga i te CentOS/Red Hat whakamahia te whakahau firewall-cmd:
sudo firewall-cmd --zone=public --add-service=ssh --permanentI muri i tenei tukanga, ka taea e koe te timata i te papangaahi.
I runga i te CentOS/Red Hat, timata te ratonga systemd mo te firewalld:
sudo systemctl start firewalld
sudo systemctl enable firewalldI runga i te Ubuntu ka whakamahia e matou te whakahau e whai ake nei:
sudo ufw enable
Fail2Ban
ratonga ka tātari i nga raarangi i runga i te tūmau me te tatau i te maha o nga ngana uru mai i ia wahitau IP. Ko nga tautuhinga e tohu ana i nga ture mo te maha o nga ngana uru ka whakaaetia mo tetahi waahi - ka mutu ka aukatihia tenei wahitau IP mo te waa kua tohua. Hei tauira, me whakaae kia 5 ngana whakamotuhēhēnga SSH i rahua i roto i te 2 haora, ka aukati i te wāhitau IP kua hoatu mo te 12 haora.
Te whakauru i te Fail2Ban i runga i te CentOS me te Red Hat:
sudo yum install fail2banTe whakaurunga ki runga Ubuntu me Debian:
sudo apt install fail2banWhakarewa:
systemctl start fail2ban
systemctl enable fail2ban E rua nga konae whirihoranga o te papatono: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. Ko nga here aukati kua tohua ki te konae tuarua.
Ko te whare herehere mo te SSH kua whakahohea ma te taunoa me nga tautuhinga taunoa (5 nganatanga, te wa 10 meneti, ka aukati mo te 10 meneti).
[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5
I tua atu i te SSH, ka taea e Fail2Ban te tiaki i etahi atu ratonga i runga i te nginx, i te paetukutuku tukutuku Apache ranei.
Whakahoutanga haumarutanga aunoa
Kei te mohio koe, ka kitea nga whakaraeraetanga hou ki nga kaupapa katoa. Whai muri i te whakaputanga o nga korero, ka taapirihia nga mahi ki nga kete rongonui rongonui, e whakamahia nuitia ana e nga kaiwhaiwhai me nga taiohi i te wa e matawai ana i nga tūmau katoa i te rarangi. Na reira, he mea tino nui ki te whakauru i nga whakahoutanga haumarutanga ina puta mai.
I runga i te tūmau Ubuntu, ka whakahohehia nga whakahoutanga haumarutanga aunoa ma te taunoa, no reira karekau he mahi.
I runga i te CentOS / Red Hat me whakauru koe i te tono ka whakakāhia te matawā:
sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timerTakiwā:
sudo systemctl status dnf-automatic.timer
Te huri i nga tauranga taunoa
I whakawhanakehia te SSH i te tau 1995 hei whakakapi i te telnet (tauranga 23) me te ftp (tauranga 21), na te kaituhi o te kaupapa, ko Tatu Iltonen. , a kua whakaaetia e IANA.
Ko te tikanga, kei te mohio nga kaiwhaiwhai katoa ko tehea te tauranga SSH e rere ana - ka tirotirohia me era atu o nga tauranga paerewa kia kitea te putanga rorohiko, ki te tirotiro i nga kupuhipa pakiaka paerewa, me era atu.
Ko te whakarereke i nga tauranga paerewa - te whakapouri - he maha nga wa ka whakaitihia te nui o te hokohoko para, te rahi o nga rakau me te utaina i runga i te tūmau, me te whakaiti i te mata whakaeke. Ahakoa etahi (security through obscurity). Ko te take he whakahē tenei tikanga ki te taketake . Na reira, hei tauira, te US National Institute o Paerewa me Hangarau i roto i e whakaatu ana i te hiahia mo te hoahoanga tūmau tuwhera: "Ko te haumarutanga o te punaha kia kaua e whakawhirinaki ki te muna o te whakatinanatanga o ona waahanga," e kii ana te tuhinga.
Ko te tikanga, ko te whakarereke i nga tauranga taunoa he whakahe ki nga mahi o te hoahoanga tuwhera. Engari i roto i nga mahi, ka tino whakaitihia te nui o nga hokohoko kino, na he mea ngawari tenei me te whai hua.
Ka taea te whirihora i te tau tauranga ma te huri i te tohutohu Port 22 i te kōnae whirihora . Kei te tohuhia ano e te tawhā -p <port> в . Kaihoko SSH me nga kaupapa tautoko hoki i te kōwhiringa -p <port>.
Taumahi -p <port> Ka taea te whakamahi hei tohu i te tau tauranga ina hono ana ki te whakahau ssh i roto i te linux. IN и scp ka whakamahia te tawhā -P <port> (matua P). Ka takahia e nga tohutohu raina whakahau tetahi uara i roto i nga konae whirihoranga.
Mena he maha nga tūmau, tata katoa o enei mahi hei tiaki i te tūmau Linux ka taea te mahi aunoa i roto i te tuhinga. Engari ki te kotahi anake te tūmau, he pai ake te whakahaere ā-ringa i te tukanga.
I runga i nga Tika Tika
Tonoa ka mahi tonu! tetahi whirihoranga me tetahi punaha whakahaere i roto i te meneti. Ko te whirihoranga teitei ka taea e koe te eke ki runga ki te tino - 128 CPU cores, 512 GB RAM, 4000 GB NVMe. Epic 🙂
Source: will.com
