OpenSSH: turvamise meetodid
Info
Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks.
OpenSSH vaikimisi seadistusfailid ja SSH port
- /etc/ssh/sshd_config OpenSSH serveri seadistuste fail.
- /etc/ssh/ssh_config OpenSSH kliendi seadistuste fail.
- ~/.ssh/ Kasutaja ssh seadistuste kaust.
- ~/.ssh/authorized_keys või ~/.ssh/authorized_keys Loend avalikest võtmetest (RSA või DSA) mille abil saab kasutaja kontole sisse logida.
- /etc/nologin Kui see fail on olemas, keeldub sshd kõigil peale juurkasutaja sisse logida.
- /etc/hosts.allow ning /etc/hosts.deny Sisaldavad TCP-Wrapper-ite poolt nõutavaid pääsupiiramisloendeid.
- SSH vaikimisi port: TCP 22
Turvalisuse eeldused
Operatsioonisüsteem ja OpenSSH on uuendatud
Soovitav on kasutada regulaarselt vahendeid nagu yum, apt-get, freebsd-update jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu. Ubuntus on abiks käsud:
$ sudo apt-get update |
$ sudo apt-get dist-upgrade |
Tugevad paroolid
Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. Brute force rünnakud on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. Ubuntu kommuuni artikkel tugevatest paroolidest. PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend.
Ainult SSH 2. protokoll
SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga (MITM attack) seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda. Avades sshd_config faili, tuleks kontrollida, kas seal on rida "Protocol 2".
Turvamise meetodeid
Tühjad paroolid on keelatud
Tühja parooliga kontodelt sisse logimise keelamiseks peab sshd_config faili lisama rea "PermitEmptyPasswords no".
Avaliku võtme põhine autentimine
Õpetus: OpenSSH:_võtmetega_autentimine. Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada.
TODO
Mitmed meetodid.
Autor
Indrek Tamm