5 Best OpenSSH Server Beste Sicherheitspraktiken
- 1738
- 85
- Miriam Bauschke
Ssh (Sichere Shell) ist ein Open-Source-Netzwerkprotokoll, das zur Verbindung lokaler oder Remote-Linux-Server verwendet wird, um Dateien zu übertragen, Remote-Sicherungen, Remote-Befehlsausführung und andere netzwerkbezogene Aufgaben über SCP-Befehl oder SFTP-Befehl zwischen zwei Servern zu erstellen, die eine Verbindung zu einem herstellen sichern Sie den Kanal über das Netzwerk.
In diesem Artikel werde ich Ihnen einige einfache Tools und Tricks zeigen, mit denen Sie Ihre SSH -Serversicherheit verschärfen können. Hier finden Sie einige nützliche Informationen, wie Sie SSH -Server von der Sicherung und Verhinderung von SSH -Servern finden können rohe Gewalt Und Wörterbuchangriffe.
1. Denyhosts
Denyhosts ist ein Open-Source-Log-basierte Intrusion Prevention Security-Skript für SSH-Server, das in einer Python-Programmiersprache geschrieben wurde, die von Linux-Systemadministratoren und Benutzern ausgeführt werden soll, um SSH-Serverzugriffsprotokolle für fehlgeschlagen Wörterbuchbasierte Angriffe Und Brute Force -Angriffe.
Das Skript funktioniert durch Verbot IP Adressen nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche und verhindern auch, dass solche Angriffe Zugriff auf den Server erhalten.
DenyHosts Funktionen
- Verfolgt /var/log/sicher Alle erfolgreichen und fehlgeschlagenen Anmeldeversuche zu finden und filtert sie.
- Halten Sie alle fehlgeschlagenen Anmeldeversuche des Benutzers und des beleidigenden Hosts im Auge behalten.
- Schaut immer wieder auf jeden vorhandenen und nicht existierenden Benutzer (z. B. auf. xyz) Wenn ein fehlgeschlagener Loginversuche.
- Verfolgen Sie jeden beleidigenden Benutzer-, Host- und verdächtigen Anmeldeversuche (falls eine Reihe von Anmeldungsfehlern), die Host -Host -Hostverwalungen haben IP Adresse durch Hinzufügen eines Eintrags in /etc/hosts.leugnen Datei.
- Senden Sie optional eine E -Mail -Benachrichtigung über neu blockierte Hosts und verdächtige Anmeldungen.
- Verwalten Sie auch alle gültigen und ungültigen fehlgeschlagenen Benutzeranmeldesversuche in separaten Dateien, damit die Identifizierung, welcher gültige oder ungültige Benutzer angegriffen wird. Damit wir dieses Konto löschen oder das Passwort ändern oder Shell für diesen Benutzer deaktivieren können.
[Sie mögen auch mögen: Wie Sie SSH -Brute -Force -Angriffe mit DenyHosts blockieren]
2. Fail2ban
Fail2ban ist eines der beliebtesten Open-Source-Eingriffe Erkennung/Verhütung Frameworks in a geschrieben Python Programmiersprache. Es wird durch Scannen von Protokolldateien wie z. B. durchgeführt /var/log/sicher, /var/log/auth.Protokoll, /var/log/pwdfail usw. Für zu viele fehlgeschlagene Anmeldeversuche.
Fail2ban wird verwendet, um zu aktualisieren Netfilter/iptables oder TCP -Wrapper's Gastgeber.leugnen Datei, um den Angreifer abzulehnen IP Adresse für eine festgelegte Zeit. Es hat auch die Möglichkeit, eine blockierte IP -Adresse für einen bestimmten Zeitraum von Administratoren festzulegen. Eine bestimmte Minute des Unberechtigung ist jedoch mehr als ausreichend, um solche böswilligen Angriffe zu stoppen.
Fail2ban -Funktionen
- Multi-Threaded Und Höchst Konfigurierbar.
- Unterstützung für die Rotation von Protokolldateien und kann mehrere Dienste verarbeiten (wie (sshd, vsftpd, Apache, usw).
- Überwacht Protokolldateien und suchen nach bekannten und unbekannten Mustern.
- Verwendet Netfilter/iptables Und TCP -Wrapper (/etc/hosts.leugnen) Tabelle, um Angreifer IP zu verbieten.
- Führt Skripte aus, wenn ein bestimmtes Muster für dieselbe IP -Adresse mehr als identifiziert wurde X mal.
[Möglicherweise mögen Sie es auch: So verwenden Sie Fail2ban, um Ihren Linux -Server zu sichern]
3. Root Login deaktivieren
Standardmäßig werden Linux-Systeme vorkonfiguriert, um SSH-Remote-Anmeldungen für alle einschließlich der zu ermöglichen Wurzel Benutzer selbst, mit dem jeder direkt beim System anmelden und Root -Zugriff erhält. Trotz der Tatsache, dass SSH -Server eine sichere Möglichkeit ermöglicht deaktivieren Oder aktivieren Sie Root Logins, es ist immer eine gute Idee, den Root -Zugriff zu deaktivieren und Server etwas sicherer zu halten.
Es gibt so viele Menschen SSH -Angriffe Indem Sie einfach unterschiedliche Kontonamen und Passwörter angeben, nacheinander. Wenn Sie ein Systemadministrator sind, können Sie die SSH -Serverprotokolle überprüfen, wo Sie eine Reihe fehlgeschlagener Anmeldeversuche finden. Der Hauptgrund für eine Reihe fehlgeschlagener Anmeldeversuche besteht darin Hacker/Angreifer versuchen.
Wenn Sie starke Passwörter haben, sind Sie jedoch wahrscheinlich in Sicherheit. Es ist jedoch besser, die Stammanmeldung zu deaktivieren und ein reguläres separates Konto zu haben und dann zu verwenden und dann zu verwenden sudo oder su So wann immer erforderlich.
[Möglicherweise mögen Sie auch: So deaktivieren Sie die SSH -Stammanmeldung und begrenzen SSH -Zugriff unter Linux]
4. SSH -Banner anzeigen
Dies ist eine der ältesten Funktionen, die ab Beginn der SSH -Projekt, Aber ich habe kaum gesehen, dass es von irgendjemandem verwendet wird. Wie auch immer, ich denke, es ist eine wichtige und sehr nützliche Funktion, die ich für alle meine Linux -Server verwendet habe.
Dies gilt nicht für Sicherheitszwecke, aber der größte Vorteil dieses Banners besteht darin, dass es zur Anzeige von SSH verwendet wird Warnmeldungen Zu Nicht autorisiert Zugriff auf Nachrichten an autorisierte Benutzer vor der Eingabeaufforderung des Kennworts und nach der Anmeldung des Benutzer.
[Möglicherweise gefallen Sie auch: So schützen Sie SSH -Anmeldungen mit SSH & MOTD -Bannermeldungen]
5. SSH -passwortlos Anmeldung
Ein SSH-Kennwortloses Login mit SSH Keygen wird eine Vertrauensbeziehung zwischen zwei aufbauen Linux -Server was macht Datei Übertragung Und Synchronisation viel einfacher.
Dies ist sehr nützlich, wenn Sie sich mit automatisierten Remote -Sicherungen, Remote -Skriptausführung, Dateiübertragung, Remote -Skriptverwaltung usw. befassen, ohne jedes Mal das Kennwort einzugeben.
[Möglicherweise mögen Sie es auch: So richten Sie SSH -Kennwortlin in Linux ein [3 Easy Steps]]]
Um Ihren SSH -Server weiter zu sichern