OpenSSH: turvamise meetodid: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Itamm (talk | contribs)
New page: ==Sissejuhatus== Teemaks mõned OpenSSH turvalisuse tõstmise meetodid. == Lehest == Leht valmib hiljemalt mai alguseks. Senikaua võib lugeda lehte [[OpenSSH:_v%C3%B5tmetega_autentimine]...
 
Itamm (talk | contribs)
No edit summary
Line 1: Line 1:
==Sissejuhatus==
==Info==
Teemaks mõned OpenSSH turvalisuse tõstmise meetodid.
Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks.


== Lehest ==
==OpenSSH vaikimisi seadistusfailid ja SSH port==
Leht valmib hiljemalt mai alguseks. Senikaua võib lugeda lehte [[OpenSSH:_v%C3%B5tmetega_autentimine]]. Samuti tasub kontrollida, kas kasutatakse OpenSSH serveri ja kliendi uusimaid versioone (tõenäoliselt on uusim versioon turvalisim). Linuxi terminalis on abiks käsud:


{|style="background:black;width:600px;color:white;margin:7px;border:1px dotted" align=centre  
* '''/etc/ssh/sshd_config''' OpenSSH serveri seadistuste fail.
* '''/etc/ssh/ssh_config''' OpenSSH kliendi seadistuste fail.
* '''~/.ssh/''' Kasutaja ssh seadistuste kaust.
* '''~/.ssh/authorized_keys''' või '''~/.ssh/authorized_keys''' Loend avalikest võtmetest ([http://en.wikipedia.org/wiki/RSA RSA] või [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA]) mille abil saab kasutaja kontole sisse logida.
* '''/etc/nologin''' Kui see fail on olemas, keeldub '''sshd''' kõigil peale juurkasutaja sisse logida.
* '''/etc/hosts.allow ning /etc/hosts.deny''' Sisaldavad [http://en.wikipedia.org/wiki/TCP_Wrapper ''TCP-Wrapper'']-ite poolt nõutavaid pääsupiiramisloendeid.
* SSH vaikimisi port: '''TCP 22'''
 
==Turvalisuse eeldused==
 
===Operatsioonisüsteem ja OpenSSH on uuendatud===
 
Soovitav on kasutada regulaarselt vahendeid nagu ''yum'', ''apt-get'', ''freebsd-update'' jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu.
Ubuntus on abiks käsud:
 
{|style="background:lightyellow;width:450px;color:black;margin:7px;border:1px dotted gray" align=centre  
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get update
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get update
|-
|-
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ apt-cache policy openssh-server openssh-client
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get dist-upgrade
|}
|}
===Tugevad paroolid===
Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. [http://en.wikipedia.org/wiki/Brute_force_attack Brute force rünnakud] on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. [https://help.ubuntu.com/community/StrongPasswords Ubuntu kommuuni artikkel tugevatest paroolidest.]
PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend.
===Ainult SSH 2. protokoll===
SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga  [http://en.wikipedia.org/wiki/Man-in-the-middle_attack (MITM attack)] seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda.
Avades '''sshd_config''' faili, tuleks kontrollida, kas seal on rida "'''Protocol 2'''".
==Turvamise meetodeid==
===Tühjad paroolid on keelatud===
Tühja parooliga kontodelt sisse logimise keelamiseks peab '''sshd_config''' faili lisama rea "'''PermitEmptyPasswords no'''".
===Avaliku võtme põhine autentimine===
Õpetus: [[OpenSSH:_v%C3%B5tmetega_autentimine]].
Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada.
==TODO==
Mitmed meetodid.


==Autor==
==Autor==

Revision as of 23:16, 29 April 2010

Info

Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks.

OpenSSH vaikimisi seadistusfailid ja SSH port

  • /etc/ssh/sshd_config OpenSSH serveri seadistuste fail.
  • /etc/ssh/ssh_config OpenSSH kliendi seadistuste fail.
  • ~/.ssh/ Kasutaja ssh seadistuste kaust.
  • ~/.ssh/authorized_keys või ~/.ssh/authorized_keys Loend avalikest võtmetest (RSA või DSA) mille abil saab kasutaja kontole sisse logida.
  • /etc/nologin Kui see fail on olemas, keeldub sshd kõigil peale juurkasutaja sisse logida.
  • /etc/hosts.allow ning /etc/hosts.deny Sisaldavad TCP-Wrapper-ite poolt nõutavaid pääsupiiramisloendeid.
  • SSH vaikimisi port: TCP 22

Turvalisuse eeldused

Operatsioonisüsteem ja OpenSSH on uuendatud

Soovitav on kasutada regulaarselt vahendeid nagu yum, apt-get, freebsd-update jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu. Ubuntus on abiks käsud:

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Tugevad paroolid

Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. Brute force rünnakud on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. Ubuntu kommuuni artikkel tugevatest paroolidest. PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend.

Ainult SSH 2. protokoll

SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga (MITM attack) seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda. Avades sshd_config faili, tuleks kontrollida, kas seal on rida "Protocol 2".

Turvamise meetodeid

Tühjad paroolid on keelatud

Tühja parooliga kontodelt sisse logimise keelamiseks peab sshd_config faili lisama rea "PermitEmptyPasswords no".

Avaliku võtme põhine autentimine

Õpetus: OpenSSH:_võtmetega_autentimine. Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada.

TODO

Mitmed meetodid.

Autor

Indrek Tamm