OpenSSH: turvamise meetodid: Difference between revisions
(New page: ==Sissejuhatus== Teemaks mõned OpenSSH turvalisuse tõstmise meetodid. == Lehest == Leht valmib hiljemalt mai alguseks. Senikaua võib lugeda lehte [[OpenSSH:_v%C3%B5tmetega_autentimine]...) |
No edit summary |
||
| Line 1: | Line 1: | ||
== | ==Info== | ||
Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks. | |||
== | ==OpenSSH vaikimisi seadistusfailid ja SSH port== | ||
{|style="background: | * '''/etc/ssh/sshd_config''' OpenSSH serveri seadistuste fail. | ||
* '''/etc/ssh/ssh_config''' OpenSSH kliendi seadistuste fail. | |||
* '''~/.ssh/''' Kasutaja ssh seadistuste kaust. | |||
* '''~/.ssh/authorized_keys''' või '''~/.ssh/authorized_keys''' Loend avalikest võtmetest ([http://en.wikipedia.org/wiki/RSA RSA] või [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA]) mille abil saab kasutaja kontole sisse logida. | |||
* '''/etc/nologin''' Kui see fail on olemas, keeldub '''sshd''' kõigil peale juurkasutaja sisse logida. | |||
* '''/etc/hosts.allow ning /etc/hosts.deny''' Sisaldavad [http://en.wikipedia.org/wiki/TCP_Wrapper ''TCP-Wrapper'']-ite poolt nõutavaid pääsupiiramisloendeid. | |||
* SSH vaikimisi port: '''TCP 22''' | |||
==Turvalisuse eeldused== | |||
===Operatsioonisüsteem ja OpenSSH on uuendatud=== | |||
Soovitav on kasutada regulaarselt vahendeid nagu ''yum'', ''apt-get'', ''freebsd-update'' jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu. | |||
Ubuntus on abiks käsud: | |||
{|style="background:lightyellow;width:450px;color:black;margin:7px;border:1px dotted gray" align=centre | |||
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get update | | style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get update | ||
|- | |- | ||
| style="padding-left:7px;font-family:courier;font-weight:bold;" |$ apt- | | style="padding-left:7px;font-family:courier;font-weight:bold;" |$ sudo apt-get dist-upgrade | ||
|} | |} | ||
===Tugevad paroolid=== | |||
Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. [http://en.wikipedia.org/wiki/Brute_force_attack Brute force rünnakud] on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. [https://help.ubuntu.com/community/StrongPasswords Ubuntu kommuuni artikkel tugevatest paroolidest.] | |||
PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend. | |||
===Ainult SSH 2. protokoll=== | |||
SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga [http://en.wikipedia.org/wiki/Man-in-the-middle_attack (MITM attack)] seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda. | |||
Avades '''sshd_config''' faili, tuleks kontrollida, kas seal on rida "'''Protocol 2'''". | |||
==Turvamise meetodeid== | |||
===Tühjad paroolid on keelatud=== | |||
Tühja parooliga kontodelt sisse logimise keelamiseks peab '''sshd_config''' faili lisama rea "'''PermitEmptyPasswords no'''". | |||
===Avaliku võtme põhine autentimine=== | |||
Õpetus: [[OpenSSH:_v%C3%B5tmetega_autentimine]]. | |||
Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada. | |||
==TODO== | |||
Mitmed meetodid. | |||
==Autor== | ==Autor== | ||
Revision as of 00:16, 30 April 2010
Info
Lehel on valik OpenSSH turvalisuse tõstmise meetodeid. Valmib hiljemalt mai alguseks.
OpenSSH vaikimisi seadistusfailid ja SSH port
- /etc/ssh/sshd_config OpenSSH serveri seadistuste fail.
- /etc/ssh/ssh_config OpenSSH kliendi seadistuste fail.
- ~/.ssh/ Kasutaja ssh seadistuste kaust.
- ~/.ssh/authorized_keys või ~/.ssh/authorized_keys Loend avalikest võtmetest (RSA või DSA) mille abil saab kasutaja kontole sisse logida.
- /etc/nologin Kui see fail on olemas, keeldub sshd kõigil peale juurkasutaja sisse logida.
- /etc/hosts.allow ning /etc/hosts.deny Sisaldavad TCP-Wrapper-ite poolt nõutavaid pääsupiiramisloendeid.
- SSH vaikimisi port: TCP 22
Turvalisuse eeldused
Operatsioonisüsteem ja OpenSSH on uuendatud
Soovitav on kasutada regulaarselt vahendeid nagu yum, apt-get, freebsd-update jms, et tagada süsteemile ja selle programmidele (turva)uuenduste olemasolu. Ubuntus on abiks käsud:
| $ sudo apt-get update |
| $ sudo apt-get dist-upgrade |
Tugevad paroolid
Ülitähtis on kasutada kasutajate ja võtmete paroolideks keerulisi ja vähemalt 8 ühikut pikkasid märgikombinatsioone. Brute force rünnakud on edukad, sest paroolidena kasutatakse sõnu ja nimesid, mis on päriselt olemas. Ubuntu kommuuni artikkel tugevatest paroolidest. PS. Parooli sünonüüm salasõna on it-maailmas eksitav väljend, sest kui paroolina kasutatakse lihtsalt mingit sõna, on selle sõna salajas püsimine äärmiselt ebatõenäoline. Paremini sobiks parooli sünonüümiks salafraas või salaväljend.
Ainult SSH 2. protokoll
SSH 1. protokoll (SSH-1) omab vahemehe-rünnakuga (MITM attack) seonduvaid probleeme ja muid turvanõrkusi. SSH-1 on aegunud ja sellest tuleks iga hinna eest hoiduda. Avades sshd_config faili, tuleks kontrollida, kas seal on rida "Protocol 2".
Turvamise meetodeid
Tühjad paroolid on keelatud
Tühja parooliga kontodelt sisse logimise keelamiseks peab sshd_config faili lisama rea "PermitEmptyPasswords no".
Avaliku võtme põhine autentimine
Õpetus: OpenSSH:_võtmetega_autentimine. Kasutada avaliku- ja privaatvõtme paari koos privaatvõtmele määratud parooliga. Parool peaks olema unikaalne, oma privaatvõtit ei tohiks mitte kunagi avaldada.
TODO
Mitmed meetodid.
Autor
Indrek Tamm
