Блог на JenRom
Всеки край е начало...
| Анатолий относно Настройка на поддръжка за HP Laser… |
| Владимир на Virtual Box в най-скритите... |
| cjechoel относно Настройване на Raspberry Pi за r... |
| Лилия относно Настройка на поддръжка за HP Laser… |
| Дмитрий на записа на Virtual Box в най-скритите... |
openSSH. Настройване на SSH сървър и клиент на Linux. Част 2.
Последния път, когато разбрахме какво еSSH и какви са предимствата му, внедрихме и най-простия пример заSSH- сървър и клиент.
Днес ще говоря за по-подробна конфигурация наSSH- сървъра.
Преди да редактирате, нека направимрезервен файл за всеки случай:
Сега да видим съдържанието му:
След всяка промяна на този файл,ssh- сървърът трябва да се рестартира, за да влязат в сила нашите промени.
Както виждаме, тук има доста параметри, ще се справим с всеки от тях постепенно.
Тук е написано на кой порт ще слуша сървъра ни. По подразбиране той слуша22 портTCP/IP. Интересен факт е, че можете да посочите множество портове. Например:
Препоръчително е да използвате „нестандартен“ порт, за да скриете вашия сървър от случайни или умишлени сканирания от ботове за потенциални уязвимости.
ListenAddress
Общият изглед на настройката може да бъде написан по следния начин:
Тук можете също да посочите порт. Например:
Адрес Семейство
Например, за да разрешитеIPv4 и да откажетеIPv6:
ssh може да работи с протоколиSSH1 иSSH2. Използването на несигурнияSSH1 обаче е силно обезкуражено. силаssh можете да работите само сSSH2 протокол като този:
PermitRootLogin
PermitEmptyPasswords
Блокиране на празни пароли
AllowUsers, AllowGroups
За да направите това, добавете определени потребители, които съществуват на сървъра, към конфигурационния файлsshd_config. В примера по-долу това са потребителитеjohn, peter иmichael,, на които е разрешено да влизат в сървъра. Потребителските имена са разделени с интервали.
Когато добавяте всички потребители, които присъстват в дадена група, те трябва да бъдат посочени, както е показано в примера по-долу. Групите потребители, на които е разрешено да влизат в сървъра, също са разделени с интервал.
DenyUsers, DenyGroups
За разлика от разрешаването на достъп до конкретни потребители или групи, можете също да посочите потребители или групи, на които е отказан достъп до сървъра. За да направите това, добавете параметъраDenyUsers към конфигурационния файлsshd_config, в който, разделени с интервал, посочете онези потребители, на които е отказан достъп до сървъра. В примера по-долу това е систематаapache, както и съвсем истинскиятboris.
Има и настройка, с която можете да откажете достъп не на отделни потребители, а на цели групи, които включват потребители. Това е параметърътDenyGroups и групите също са посочени с интервал.
Обърнете внимание, че можете да използвате комбинации от параметри за отказ и разрешение:DenyUsers,AllowUsers,DenyGroups иAllowGroups.
LoginGraceTime
За да направите това, променете параметъраLoginGraceTime, като редактирате файлаsshd_config, и укажете необходимото време там. В примера по-долу това1 минута.
ClientAliveInterval
Прекъснете връзката, когато няма активност в обвивката
ИзползвайкиBash, можете да постигнете това чрез промяна на променливата на средатаTMOUT.
ВOpenSSH това се постига чрез комбиниране на параметритеClientAliveCountMax иClientAliveInterval в конфигурационния файлsshd_config.
- ClientAliveCountMax - определя максималния бройcheckalive съобщения, изпратени отssh- сървъра, без да получи никакъв отговор отssh- клиента. По подразбиране е3.
- ClientAliveInterval - определя времето за изчакване (изчакване) в секунди. След указаното времеssh-, сървърът ще изпрати съобщениеcheckalive до клиента, чакайки отговор(response) от него. По подразбиране е0,, което означава, че сървърът няма да изпраща съобщения за проверка.
За да може вашиятssh- клиент автоматично да прекъсне връзката след10 минути (600 секунди), трябва да промените конфигурационния файлsshd_config както следва:
Това е всичко за сега. По принцип мисля, че това вече е достатъчно за добра настройка и подобряване на сигурността наssh. В следващата част ще анализираме още някои параметри наssh- сървъра и може би ще имаме време да обсъдим удостоверяването, базирано на ключ.
Успех на всички и до скоро в нашия блог!