5 ການປະຕິບັດທີ່ດີທີ່ສຸດເພື່ອຮັບປະກັນແລະປົກປ້ອງ Server SSH


SSH (Secure Shell) ແມ່ນໂປແກຼມເຄືອຂ່າຍແຫຼ່ງເປີດທີ່ໃຊ້ໃນການເຊື່ອມຕໍ່ເຊີຟເວີ Linux ໃນທ້ອງຖິ່ນຫລືຫ່າງໄກສອກຫຼີກເພື່ອໂອນໄຟລ໌, ເຮັດການ ສຳ ຮອງຂໍ້ມູນໄລຍະໄກ, ການປະຕິບັດ ຄຳ ສັ່ງຫ່າງໄກສອກຫຼີກແລະວຽກອື່ນໆທີ່ກ່ຽວຂ້ອງກັບເຄືອຂ່າຍຜ່ານ scp ຫຼື sftp ລະຫວ່າງສອງ server ທີ່ເຊື່ອມຕໍ່ຜ່ານຊ່ອງທາງທີ່ປອດໄພຜ່ານ ເຄືອຂ່າຍ.

ໃນບົດຂຽນນີ້, ຂ້ອຍຈະສະແດງເຄື່ອງມືແລະເຄັດລັບງ່າຍໆບາງຢ່າງທີ່ຈະຊ່ວຍເຈົ້າໃນການຮັກສາຄວາມປອດໄພຂອງເຊີບເວີຂອງທ່ານ. ນີ້ທ່ານຈະເຫັນຂໍ້ມູນທີ່ເປັນປະໂຫຍດບາງຢ່າງກ່ຽວກັບວິທີການປ້ອງກັນແລະປ້ອງກັນເຊີບເວີ ssh ຈາກຜົນບັງຄັບໃຊ້ແລະການໂຈມຕີວັດຈະນານຸກົມ.

1. ປະຕິເສດ DenyHosts

DenyHosts ແມ່ນບົດຂຽນຄວາມປອດໄພ ສຳ ລັບການປ້ອງກັນການເຂົ້າສູ່ລະບົບ ສຳ ລັບເຄື່ອງແມ່ຂ່າຍ SSH ຖືກຂຽນເປັນພາສາການຂຽນໂປແກຼມ python ເຊິ່ງມີຈຸດປະສົງທີ່ຈະ ດຳ ເນີນການໂດຍຜູ້ບໍລິຫານລະບົບ Linux ແລະຜູ້ໃຊ້ເພື່ອຕິດຕາມແລະວິເຄາະບັນທຶກການເຂົ້າໃຊ້ server ຂອງ SSH ສຳ ລັບຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວຮູ້ວ່າເປັນການໂຈມຕີພົດຈະນານຸກົມ ການໂຈມຕີບັງຄັບ. ສະຄິບເຮັດວຽກໂດຍການຫ້າມທີ່ຢູ່ IP ຫຼັງຈາກ ກຳ ນົດ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວແລະຍັງປ້ອງກັນການໂຈມຕີດັ່ງກ່າວຈາກການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ.

<

  • ຕິດຕາມ/var/log/ປອດໄພເພື່ອຊອກຫາຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ປະສົບຜົນ ສຳ ເລັດແລະລົ້ມເຫລວແລະກັ່ນຕອງພວກມັນ.
  • ຮັກສາຕາທຸກຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວໂດຍຜູ້ໃຊ້ແລະເຈົ້າພາບທີ່ເຮັດຜິດ.
  • ຮັກສາເບິ່ງຜູ້ໃຊ້ແຕ່ລະຄົນທີ່ບໍ່ມີຢູ່ແລະບໍ່ມີຢູ່ (ຕົວຢ່າງ. xyz) ເມື່ອການເຂົ້າສູ່ລະບົບລົ້ມເຫຼວ.
  • ຕິດຕາມຜູ້ໃຊ້ທີ່ຫຼົງໄຫຼ, ການເປັນເຈົ້າພາບແລະຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ ໜ້າ ສົງໄສ (ຖ້າ ຈຳ ນວນຄວາມລົ້ມເຫຼວຂອງການເຂົ້າສູ່ລະບົບ) ຫ້າມທີ່ຢູ່ IP ຂອງຜູ້ໃຊ້ໂດຍການເພີ່ມເຂົ້າໃນເອກະສານ /etc/hosts.deny.
  • ທາງເລືອກສົ່ງການແຈ້ງເຕືອນອີເມວຂອງເຈົ້າພາບທີ່ຖືກບລັອກແລະການເຂົ້າສູ່ລະບົບທີ່ ໜ້າ ສົງໄສ.
  • ຍັງຮັກສາຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້ທີ່ຖືກຕ້ອງແລະບໍ່ຖືກຕ້ອງໃນເອກະສານແຍກຕ່າງຫາກ, ເພື່ອໃຫ້ງ່າຍຕໍ່ການລະບຸວ່າຜູ້ໃຊ້ທີ່ຖືກຕ້ອງຫຼືບໍ່ຖືກຕ້ອງຖືກໂຈມຕີ. ສະນັ້ນ, ວ່າພວກເຮົາສາມາດລຶບບັນຊີນັ້ນໄດ້ຫລືປ່ຽນລະຫັດຜ່ານຫລືປິດແກະ ສຳ ລັບຜູ້ໃຊ້ນັ້ນ.
  • ອ່ານເພີ່ມເຕີມ: ຕິດຕັ້ງ DenyHosts ເພື່ອສະກັດກັ້ນການໂຈມຕີຂອງ SSH Server ໃນ RHEL/CentOS/Fedora

    2. Fail2Ban

    Fail2ban ແມ່ນ ໜຶ່ງ ໃນບັນດາກອບການຊອກຄົ້ນຫາ/ການປ້ອງກັນການເປີດແຫຼ່ງທີ່ໄດ້ຮັບຄວາມນິຍົມທີ່ສຸດທີ່ຂຽນເປັນພາສາການຂຽນໂປແກມ python. ມັນ ດຳ ເນີນການໂດຍການສະແກນເອກະສານບັນທຶກເຊັ່ນ:/var/log/secure, /var/log/auth.log,/var/log/pwdfail etc. ສຳ ລັບຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວຫລາຍເກີນໄປ. Fail2ban ໃຊ້ເພື່ອປັບປຸງເອກະສານ Netfilter/iptables ຫຼືໄຟລ໌ hosts.deny ຂອງ TCP Wrapper, ເພື່ອປະຕິເສດທີ່ຢູ່ IP ຂອງຜູ້ໂຈມຕີໃນ ຈຳ ນວນເວລາທີ່ ກຳ ນົດ. ມັນຍັງມີຄວາມສາມາດໃນການແບ່ງປັນທີ່ຢູ່ IP ທີ່ຖືກບລັອກໃນໄລຍະເວລາທີ່ແນ່ນອນທີ່ ກຳ ນົດໂດຍຜູ້ບໍລິຫານ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ນາທີທີ່ບໍ່ເປັນເອກະພາບແມ່ນພຽງພໍທີ່ຈະຢຸດການໂຈມຕີທີ່ເປັນອັນຕະລາຍດັ່ງກ່າວ.

    <

  • ຫຼາຍກະທູ້ແລະມີການຕັ້ງຄ່າສູງ.
  • ຮອງຮັບການ ໝູນ ວຽນຂອງໄຟລ໌ບັນທຶກແລະສາມາດຈັດການກັບຫລາຍບໍລິການເຊັ່ນ (sshd, vsftpd, apache, ແລະອື່ນໆ).
  • ຜູ້ຕິດຕາມກວດກາບັນທຶກເອກະສານແລະຊອກຫາຮູບແບບທີ່ຮູ້ຈັກແລະບໍ່ຮູ້ຈັກ.
  • ໃຊ້ຕາຕະລາງ Netfilter/Iptables ແລະ TCP Wrapper (/etc/hosts.deny) ເພື່ອຫ້າມ IP ຂອງຜູ້ໂຈມຕີ.
  • ດຳ ເນີນການສະຄິບເມື່ອຮູບແບບທີ່ລະບຸໄວ້ໄດ້ຖືກລະບຸ ສຳ ລັບທີ່ຢູ່ IP ດຽວກັນຫຼາຍກວ່າ X ເທື່ອ.
  • ອ່ານເພີ່ມເຕີມ: ຕິດຕັ້ງ Fail2ban ເພື່ອປ້ອງກັນການໂຈມຕີຂອງ Server SSH ໃນ RHEL/CentOS/Fedora

    3. ປິດການໃຊ້ງານ Login Login

    ໂດຍ ທຳ ມະດາລະບົບ Linux ແມ່ນ ກຳ ນົດ ສຳ ລັບອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກ ssh ສຳ ລັບທຸກໆຄົນລວມທັງຜູ້ໃຊ້ root ເອງ, ເຊິ່ງຊ່ວຍໃຫ້ທຸກຄົນເຂົ້າສູ່ລະບົບໂດຍກົງແລະສາມາດເຂົ້າເຖິງຮາກໄດ້. ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າເຊີບເວີ ssh ອະນຸຍາດໃຫ້ມີວິທີທີ່ປອດໄພກວ່າທີ່ຈະປິດການໃຊ້ງານຫລືເຮັດການເຂົ້າສູ່ລະບົບຮາກ, ມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະປິດການໃຊ້ງານການເຂົ້າເຖິງຮາກ, ການຮັກສາເຄື່ອງແມ່ຂ່າຍໃຫ້ມີຄວາມປອດໄພຫລາຍຂື້ນ.

    ມີຄົນ ຈຳ ນວນຫລວງຫລາຍທີ່ພະຍາຍາມ ກຳ ຈັດບັນຊີຮາກບັນຊີຜ່ານການໂຈມຕີ SSH ໂດຍການສະ ໜອງ ຊື່ບັນຊີແລະລະຫັດຜ່ານທີ່ແຕກຕ່າງກັນ, ແຕ່ລະອັນ. ຖ້າທ່ານເປັນຜູ້ບໍລິຫານລະບົບ, ທ່ານສາມາດກວດເບິ່ງບັນທຶກເຊີຟເວີ ssh, ເຊິ່ງທ່ານຈະພົບເຫັນ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວ. ເຫດຜົນຫຼັກທີ່ເຮັດໃຫ້ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວແມ່ນການມີລະຫັດຜ່ານທີ່ບໍ່ພຽງພໍແລະນັ້ນກໍ່ ໝາຍ ຄວາມວ່າພວກແຮັກເກີ້/ຜູ້ໂຈມຕີຈະພະຍາຍາມ.

    ຖ້າທ່ານມີລະຫັດຜ່ານທີ່ແຂງແຮງ, ທ່ານອາດຈະປອດໄພ, ເຖິງຢ່າງໃດກໍ່ຕາມມັນກໍ່ດີກວ່າທີ່ຈະປິດການເຂົ້າສູ່ລະບົບຮາກແລະມີບັນຊີແຍກຕ່າງຫາກເປັນປະ ຈຳ ເພື່ອເຂົ້າສູ່ລະບົບ, ແລະຫຼັງຈາກນັ້ນໃຫ້ໃຊ້ sudo ຫຼື su ເພື່ອເຂົ້າໃຊ້ຮາກທຸກຄັ້ງທີ່ຕ້ອງການ

    ອ່ານເພິ່ມເຕິມ: ວິທີການປິດການເຂົ້າໃຊ້ລະບົບຮາກ SSH ແລະ ຈຳ ກັດການເຂົ້າໃຊ້ SSH

    4. ສະແດງປ້າຍໂຄສະນາ SSH

    ນີ້ແມ່ນ ໜຶ່ງ ໃນຄຸນລັກສະນະເກົ່າແກ່ທີ່ສຸດທີ່ມີໃນຕອນເລີ່ມຕົ້ນຂອງໂຄງການ ssh, ແຕ່ຂ້ອຍບໍ່ຄ່ອຍເຫັນວ່າມັນຖືກໃຊ້ໂດຍໃຜ. ເຖິງຢ່າງໃດກໍ່ຕາມຂ້ອຍຮູ້ສຶກເຖິງຄຸນລັກສະນະທີ່ ສຳ ຄັນແລະມີປະໂຫຍດຫຼາຍທີ່ຂ້ອຍເຄີຍໃຊ້ ສຳ ລັບ Linux server ຂອງຂ້ອຍທັງ ໝົດ.

    ນີ້ບໍ່ແມ່ນເພື່ອຈຸດປະສົງດ້ານຄວາມປອດໄພ, ແຕ່ຜົນປະໂຫຍດທີ່ຍິ່ງໃຫຍ່ທີ່ສຸດຂອງປ້າຍໂຄສະນານີ້ແມ່ນມັນຖືກ ນຳ ໃຊ້ເພື່ອສະແດງຂໍ້ຄວາມເຕືອນ ssh ເຖິງການເຂົ້າເຖິງທີ່ໄດ້ຮັບອະນຸຍາດຈາກອົງການສະຫະປະຊາຊາດແລະຍິນດີຕ້ອນຮັບຂໍ້ຄວາມໃຫ້ຜູ້ຊົມໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດກ່ອນການກະຕຸ້ນລະຫັດຜ່ານແລະຫຼັງຈາກຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ.

    ອ່ານຕໍ່: ວິທີການສະແດງຂໍ້ຄວາມປ້າຍໂຄສະນາ SSH & MOTD

    5. ການເຂົ້າລະຫັດແບບບໍ່ມີລະຫັດ

    ການເຂົ້າລະຫັດຜ່ານດ້ວຍລະຫັດຜ່ານ SSH ໜ້ອຍ ລົງກັບ SSH keygen ຈະສ້າງຄວາມ ສຳ ພັນທີ່ໄວ້ວາງໃຈລະຫວ່າງສອງເຊີບເວີ Linux ເຊິ່ງເຮັດໃຫ້ການໂອນໄຟລ໌ແລະການຊິ້ງຂໍ້ມູນງ່າຍຂຶ້ນຫຼາຍ. ມັນມີປະໂຫຍດຫຼາຍຖ້າທ່ານ ກຳ ລັງຈັດການກັບການ ສຳ ຮອງຂໍ້ມູນແບບອັດຕະໂນມັດໄລຍະໄກ, ການປະຕິບັດການຂຽນອັກສອນໄລຍະໄກ, ການໂອນເອກະສານ, ການຈັດການສະຄິບທີ່ຢູ່ຫ່າງໄກແລະອື່ນໆໂດຍບໍ່ຕ້ອງໃສ່ຜ່ານແຕ່ລະຄັ້ງ.

    ອ່ານຕໍ່: ວິທີການຕັ້ງຄ່າເຂົ້າລະຫັດຜ່ານ SSH