Главная | Словарь | Книги | Контакты

• 404
• CMS
• linux для бюджетных учреждений
• windows
• Архивирование
• БД
• Бесплатно, то есть даром
• библиотеки
• Боты в мессенджерах
• Взлом и хакинг
• гос системы
• Железо
• Закон
• Каталог программ
• Книги на форуме
• Компьютер
• Магазины зарубежные
• Одноплатники
• Операционные системы обзор
• Оптимизация сайтов
• Программирование
• Разное
• Сервера и сеть
• Словарь компьютерных терминов
• Смартфоны и планшеты
• Социальные сети и реклама
• Статьи
• Заработок в Интернет
• Науки
• Мои
• Папка WinSxS в Windows Server
• Мой linux
• etckeeper
• Gentoo USE-флаги (описание на русском)
• lftp - Синхронизация папок по ftp
• LPT
• noVNC в браузере
• Portage: первые шаги
• quemu
• rss в консоли
• wget настройка копирования вопреки всякой логике
• youtube-dl какие сайты поддерживает
• Видеокарты в linux
• ГРУППЫ ПОЛЬЗОВАТЕЛЕЙ LINUX
• Знакомство с консольным IRC-клиентом irssi
• Как изменить период синхронизации времени в Windows
• Конвертация файлов в консоли
• Настройка NETWORK MANAGER в консоли
• настройка novnc
• Настройка консольного e-mail клиента Mutt за пять минут
• Настройка консольного IM клиента Finch
• Основные команды linux
• Поисковая система по linux параметрам
• Радио
• Секрет айсберга
• Сервер времени на FreeBSD
• скрипт перевода в линукс.txt
• Слух компьютера
• Полезные программы
• Программы gentoo
• make.conf
• Слушаем музыку из консоли при помоьщю cmus
• Установка сервера и клиента Mumble под Linux
• Диагностика
• КАК ДОБАВИТЬ ПОЛЬЗОВАТЕЛЯ В ГРУППУ LINUX
• 10 полезных утилит Linux для анализа и мониторинга системы
• проверить тубе
• elk логи
• Разработка LINUX
• Installing PowerShell Core on Linux
• Логирование в линукс
• mutt
• можно реализовать ос внутри браузера, например
• pass linux
• запись образа с линукс
• rss
• уникод
• пример bash в графике
• awesome-console-services
• 40 основных команд Linux, которые вы должны знать
• тестирование и мониторинг системы в линукс
• Шифрование в линукс
• Тестирование компонентов компьютера
• Squashfs
• Подключение по RDP только с определенных IP-адресов с помощью Брандмауэра Windows 7
• Конвертация видео -1
• Конвертация видео -2
• Документация по FFmpeg
• 19 команд ffmpeg для любых нужд
• Основные форматы видео для телевизора
• Какой формат видео нужен для телевизоров разных брендов
• Какие форматы контента умеет читать современный телевизор
• Какие форматы видео поддерживают современные телевизоры
• КАК ПОСМОТРЕТЬ ВИДЕОКАРТУ В LINUX
• Всегда актуальная информация по файловой системе linux
• Находим Активные Компьютеры в Локальной Сети из-под Linux
• Управление процессами в bash Linux
• Улучшаем безопасность SSH сервера
• Короткие заметки
• Архив устаревших, но иногда нужных программ
• Peertube
• network bonding
• Менеджер пространства подкачки swapspace
• правила адсенсе
• фаервол некоторые размышления
• Редактирование больших файлов
• как получать сертификаты без проблем
• > Расскажите нубу, в чем беда с системд, за что его так не любят?
• Скорость работы программ
• Флаги /proc/cpuinfo для архитектуры x86
• Titanium Backup
• повесить на мышку событие в никс
• при любом произвольном движении мыши независимо от ее нажатий компьютер издавал мощный звук?
• Ресурсы для проверки скорости загрузки сайта гугле
• Команды Yota.USSD или как узнать
• Доступная для поиска таблица системных вызовов Linux для x86 и x86_64
• Не работает интернет
• Полезный блог под оптимизации на большие проекты
• Показать флаги программы в гентуу
• Лицензии в linux
• eix
• почему не показывает видео в mplayer
• ssd в pci-e
• scans
• Настройка Google Chrome с помощью ADMX шаблонов групповых политик
• Приложение Steam Link
• Отказоустойчивость информационных систем
• Игры
• Научные расчёты на видеокарте
• Установка apache2 mysql php на debian
• ТП ubuntu
• Lian Li DESK DK-04X
• Закрыть сайт в .htaccess, вход только по паролю
• Как сделать универсальный винт
• Почему стоит удалиться из социальных сетей
• Звёздная месть
• Советы gentoo
• Дизайн для мобильных устройств
• Микротик
• EvtMute
• Игры

Ваше имя (по желанию)
Пишите здесь:
Жмите здесь:

Улучшаем безопасность SSH сервера

Предыдущая |

SSH - это ссш и этим все сказано. Даже школьники знают что это - безопасный сервер терминалов (secure shell), предоставляющий удаленный доступ к системе linux. Почему безопасный? Потому что весь трафик между клиентом и сервером шифруется. Об этом и продолжу разглагольствовать.

При установке соединения сервер и клиент договариваются между собой каким образом будет происходить обмен информацией. При этом сервер предлагает клиенту, на выбор, алгоритм обмена сообщениями и сам шифр.

Алгоритм обмена сообщениями, или MAC (message authentication code) предназначен для авторизации команд/сообщений.

И сам метод шифрования, который в конфигурационном файле имеет название Cipher, определяет каким образом будут кодироваться данные между клиентом и сервером.

С недавнего времени в некоторых алгоритмах обмена сообщениями и методах шифрования были найдены слабые места, и все платные онлайн сканеры безопасности начали рапортовать MAC алгоритмы MD5 и 96­bit, как небезопасные. Также предлагают отказаться от методы шифрования CBC.

Я, конечно, слабо представляю как можно вломиться в зашифрованный канал SSH, но для спокойствия клиентов это все можно отключить и оставить только "безопасные" MAC'и и шифры.

Посмотреть с каким набором работает Ваш сервер можно вызвав справку по ssh_config и найти в ней MACs и Ciphers (нажать кнопку "/" и ввести):

man sshd_config

Мой сервер по умолчанию работает вот с таким набором MAC'ов:

hmac-md5,hmac-sha1,umac-64@openssh.com,
hmac-ripemd160,hmac-sha1-96,hmac-md5-96

 

И вот таким набором Cipher'ов:

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

Обращаем внимание на все, что имеет в названии MD5, 96­bit и CBC.

Дальше редактируем файл конфигурации /etc/ssh/ssd_config вот такими строками:

MACs hmac-md5,hmac-sha1,hmac-ripemd160
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour

Хочу обратить внимание на то, что если у Вас описаны выражения Match, тогда приведенные выше строки нужно добавлять перед этими блоками, иначе получите вот такие ошибки при перезапуске сервера ssh:

Starting sshd: /etc/ssh/sshd_config line 139: Directive 'MACs' is not allowed within a Match block
Starting sshd: /etc/ssh/sshd_config line 140: Directive 'Ciphers' is not allowed within a Match block

Перезапускаем ssh сервер. Учтите, что даже, если он не запустится - Ваша сессия останется активной.

Бывает такое, что сервер не запускается. В таком случае нужно обращать внимание, на что именно он ругается и убирать это из конфигурации

Проверить какой метод шифрования используется можно с помощью подключения в режиме развернутого вывода информации:
ssh -vv root@server.com 2>&1 |grep --color "kex:"

В моем случае это вот такой вывод:

 

Самый хороший методом обезопасить Ваш сервер - перевести всех на авторизацию по ключам и отключить вообще PAM авторизацию. Никто не сможет модифицировать пакет авторизации и видоизменить ssh handshake.

Почему то все считают что в целях безопасности SSH нужно перевесить на нестандартный порт (любой кроме 22). Этот порт можно легко прощупать с помощью того же Nmap'a, так что это - ни грамма не заглушка безопасности.

Хорошей прокладкой является Fail2Ban, который можно натравить на лог файл, в который ssh пишет заметки о проваленных авторизациях и резать всех злоумышлеников с помощью iptables.