OpenSSH: turvamise meetodid: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Itamm (talk | contribs)
No edit summary
Itamm (talk | contribs)
Line 44: Line 44:


Õpetus: [[OpenSSH:_v%C3%B5tmetega_autentimine]].
Õpetus: [[OpenSSH:_v%C3%B5tmetega_autentimine]].
Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada.  
*('''NB!''') Avaliku- ja privaatvõtme paari kasutada '''''ainult koos privaatvõtmele määratud parooliga'''''. Parool peaks olema unikaalne (mujal ei kasutata sama parooli), oma privaatvõtit ei tohiks mitte kunagi avaldada.


==TODO==
==TODO==

Revision as of 01:47, 1 May 2010

Info

Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks.

OpenSSH vaikimisi seadistusfailid ja SSH port

  • /etc/ssh/sshd_config OpenSSH serveri seadistuste fail.
  • /etc/ssh/ssh_config OpenSSH kliendi seadistuste fail.
  • ~/.ssh/ Kasutaja ssh seadistuste kaust.
  • ~/.ssh/authorized_keys või ~/.ssh/authorized_keys Loend avalikest võtmetest (RSA või DSA) mille abil saab kasutaja kontole sisse logida.
  • /etc/nologin Kui see fail on olemas, keeldub sshd kõigil peale juurkasutaja sisse logida.
  • /etc/hosts.allow ning /etc/hosts.deny Sisaldavad TCP-Wrapper-ite poolt nõutavaid pääsupiiramisloendeid.
  • SSH vaikimisi port: TCP 22

Turvalisuse eeldused

Operatsioonisüsteem ja OpenSSH on uuendatud

Soovitav on kasutada regulaarselt vahendeid nagu yum, apt-get, freebsd-update jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu. Ubuntus on abiks käsud:

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Tugevad paroolid

Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. Brute force rünnakud on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. Ubuntu kommuuni artikkel tugevatest paroolidest. PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend.

Ainult SSH 2. protokoll

SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga (MITM attack) seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda. Avades sshd_config faili, tuleks kontrollida, kas seal on rida "Protocol 2".

Turvamise meetodeid

Tühjad paroolid on keelatud

Tühja parooliga kontodelt sisse logimise keelamiseks peab sshd_config faili lisama rea "PermitEmptyPasswords no".

Avaliku võtme põhine autentimine

Õpetus: OpenSSH:_võtmetega_autentimine.

  • (NB!) Avaliku- ja privaatvõtme paari kasutada ainult koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne (mujal ei kasutata sama parooli), oma privaatvõtit ei tohiks mitte kunagi avaldada.

TODO

Mitmed meetodid.

Autor

Indrek Tamm