5 ການປະຕິບັດທີ່ດີທີ່ສຸດເພື່ອຮັບປະກັນແລະປົກປ້ອງ Server SSH
SSH (Secure Shell) ແມ່ນໂປແກຼມເຄືອຂ່າຍແຫຼ່ງເປີດທີ່ໃຊ້ໃນການເຊື່ອມຕໍ່ເຊີຟເວີ Linux ໃນທ້ອງຖິ່ນຫລືຫ່າງໄກສອກຫຼີກເພື່ອໂອນໄຟລ໌, ເຮັດການ ສຳ ຮອງຂໍ້ມູນໄລຍະໄກ, ການປະຕິບັດ ຄຳ ສັ່ງຫ່າງໄກສອກຫຼີກແລະວຽກອື່ນໆທີ່ກ່ຽວຂ້ອງກັບເຄືອຂ່າຍຜ່ານ scp ຫຼື sftp ລະຫວ່າງສອງ server ທີ່ເຊື່ອມຕໍ່ຜ່ານຊ່ອງທາງທີ່ປອດໄພຜ່ານ ເຄືອຂ່າຍ.
ໃນບົດຂຽນນີ້, ຂ້ອຍຈະສະແດງເຄື່ອງມືແລະເຄັດລັບງ່າຍໆບາງຢ່າງທີ່ຈະຊ່ວຍເຈົ້າໃນການຮັກສາຄວາມປອດໄພຂອງເຊີບເວີຂອງທ່ານ. ນີ້ທ່ານຈະເຫັນຂໍ້ມູນທີ່ເປັນປະໂຫຍດບາງຢ່າງກ່ຽວກັບວິທີການປ້ອງກັນແລະປ້ອງກັນເຊີບເວີ ssh ຈາກຜົນບັງຄັບໃຊ້ແລະການໂຈມຕີວັດຈະນານຸກົມ.
1. ປະຕິເສດ DenyHosts
DenyHosts ແມ່ນບົດຂຽນຄວາມປອດໄພ ສຳ ລັບການປ້ອງກັນການເຂົ້າສູ່ລະບົບ ສຳ ລັບເຄື່ອງແມ່ຂ່າຍ SSH ຖືກຂຽນເປັນພາສາການຂຽນໂປແກຼມ python ເຊິ່ງມີຈຸດປະສົງທີ່ຈະ ດຳ ເນີນການໂດຍຜູ້ບໍລິຫານລະບົບ Linux ແລະຜູ້ໃຊ້ເພື່ອຕິດຕາມແລະວິເຄາະບັນທຶກການເຂົ້າໃຊ້ server ຂອງ SSH ສຳ ລັບຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວຮູ້ວ່າເປັນການໂຈມຕີພົດຈະນານຸກົມ ການໂຈມຕີບັງຄັບ. ສະຄິບເຮັດວຽກໂດຍການຫ້າມທີ່ຢູ່ IP ຫຼັງຈາກ ກຳ ນົດ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວແລະຍັງປ້ອງກັນການໂຈມຕີດັ່ງກ່າວຈາກການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ.
<
ອ່ານເພີ່ມເຕີມ: ຕິດຕັ້ງ DenyHosts ເພື່ອສະກັດກັ້ນການໂຈມຕີຂອງ SSH Server ໃນ RHEL/CentOS/Fedora
2. Fail2Ban
Fail2ban ແມ່ນ ໜຶ່ງ ໃນບັນດາກອບການຊອກຄົ້ນຫາ/ການປ້ອງກັນການເປີດແຫຼ່ງທີ່ໄດ້ຮັບຄວາມນິຍົມທີ່ສຸດທີ່ຂຽນເປັນພາສາການຂຽນໂປແກມ python. ມັນ ດຳ ເນີນການໂດຍການສະແກນເອກະສານບັນທຶກເຊັ່ນ:/var/log/secure, /var/log/auth.log,/var/log/pwdfail etc. ສຳ ລັບຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວຫລາຍເກີນໄປ. Fail2ban ໃຊ້ເພື່ອປັບປຸງເອກະສານ Netfilter/iptables ຫຼືໄຟລ໌ hosts.deny ຂອງ TCP Wrapper, ເພື່ອປະຕິເສດທີ່ຢູ່ IP ຂອງຜູ້ໂຈມຕີໃນ ຈຳ ນວນເວລາທີ່ ກຳ ນົດ. ມັນຍັງມີຄວາມສາມາດໃນການແບ່ງປັນທີ່ຢູ່ IP ທີ່ຖືກບລັອກໃນໄລຍະເວລາທີ່ແນ່ນອນທີ່ ກຳ ນົດໂດຍຜູ້ບໍລິຫານ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ນາທີທີ່ບໍ່ເປັນເອກະພາບແມ່ນພຽງພໍທີ່ຈະຢຸດການໂຈມຕີທີ່ເປັນອັນຕະລາຍດັ່ງກ່າວ.
<
ອ່ານເພີ່ມເຕີມ: ຕິດຕັ້ງ Fail2ban ເພື່ອປ້ອງກັນການໂຈມຕີຂອງ Server SSH ໃນ RHEL/CentOS/Fedora
3. ປິດການໃຊ້ງານ Login Login
ໂດຍ ທຳ ມະດາລະບົບ Linux ແມ່ນ ກຳ ນົດ ສຳ ລັບອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກ ssh ສຳ ລັບທຸກໆຄົນລວມທັງຜູ້ໃຊ້ root ເອງ, ເຊິ່ງຊ່ວຍໃຫ້ທຸກຄົນເຂົ້າສູ່ລະບົບໂດຍກົງແລະສາມາດເຂົ້າເຖິງຮາກໄດ້. ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າເຊີບເວີ ssh ອະນຸຍາດໃຫ້ມີວິທີທີ່ປອດໄພກວ່າທີ່ຈະປິດການໃຊ້ງານຫລືເຮັດການເຂົ້າສູ່ລະບົບຮາກ, ມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະປິດການໃຊ້ງານການເຂົ້າເຖິງຮາກ, ການຮັກສາເຄື່ອງແມ່ຂ່າຍໃຫ້ມີຄວາມປອດໄພຫລາຍຂື້ນ.
ມີຄົນ ຈຳ ນວນຫລວງຫລາຍທີ່ພະຍາຍາມ ກຳ ຈັດບັນຊີຮາກບັນຊີຜ່ານການໂຈມຕີ SSH ໂດຍການສະ ໜອງ ຊື່ບັນຊີແລະລະຫັດຜ່ານທີ່ແຕກຕ່າງກັນ, ແຕ່ລະອັນ. ຖ້າທ່ານເປັນຜູ້ບໍລິຫານລະບົບ, ທ່ານສາມາດກວດເບິ່ງບັນທຶກເຊີຟເວີ ssh, ເຊິ່ງທ່ານຈະພົບເຫັນ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບທີ່ລົ້ມເຫລວ. ເຫດຜົນຫຼັກທີ່ເຮັດໃຫ້ ຈຳ ນວນຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວແມ່ນການມີລະຫັດຜ່ານທີ່ບໍ່ພຽງພໍແລະນັ້ນກໍ່ ໝາຍ ຄວາມວ່າພວກແຮັກເກີ້/ຜູ້ໂຈມຕີຈະພະຍາຍາມ.
ຖ້າທ່ານມີລະຫັດຜ່ານທີ່ແຂງແຮງ, ທ່ານອາດຈະປອດໄພ, ເຖິງຢ່າງໃດກໍ່ຕາມມັນກໍ່ດີກວ່າທີ່ຈະປິດການເຂົ້າສູ່ລະບົບຮາກແລະມີບັນຊີແຍກຕ່າງຫາກເປັນປະ ຈຳ ເພື່ອເຂົ້າສູ່ລະບົບ, ແລະຫຼັງຈາກນັ້ນໃຫ້ໃຊ້ sudo ຫຼື su ເພື່ອເຂົ້າໃຊ້ຮາກທຸກຄັ້ງທີ່ຕ້ອງການ
ອ່ານເພິ່ມເຕິມ: ວິທີການປິດການເຂົ້າໃຊ້ລະບົບຮາກ SSH ແລະ ຈຳ ກັດການເຂົ້າໃຊ້ SSH
4. ສະແດງປ້າຍໂຄສະນາ SSH
ນີ້ແມ່ນ ໜຶ່ງ ໃນຄຸນລັກສະນະເກົ່າແກ່ທີ່ສຸດທີ່ມີໃນຕອນເລີ່ມຕົ້ນຂອງໂຄງການ ssh, ແຕ່ຂ້ອຍບໍ່ຄ່ອຍເຫັນວ່າມັນຖືກໃຊ້ໂດຍໃຜ. ເຖິງຢ່າງໃດກໍ່ຕາມຂ້ອຍຮູ້ສຶກເຖິງຄຸນລັກສະນະທີ່ ສຳ ຄັນແລະມີປະໂຫຍດຫຼາຍທີ່ຂ້ອຍເຄີຍໃຊ້ ສຳ ລັບ Linux server ຂອງຂ້ອຍທັງ ໝົດ.
ນີ້ບໍ່ແມ່ນເພື່ອຈຸດປະສົງດ້ານຄວາມປອດໄພ, ແຕ່ຜົນປະໂຫຍດທີ່ຍິ່ງໃຫຍ່ທີ່ສຸດຂອງປ້າຍໂຄສະນານີ້ແມ່ນມັນຖືກ ນຳ ໃຊ້ເພື່ອສະແດງຂໍ້ຄວາມເຕືອນ ssh ເຖິງການເຂົ້າເຖິງທີ່ໄດ້ຮັບອະນຸຍາດຈາກອົງການສະຫະປະຊາຊາດແລະຍິນດີຕ້ອນຮັບຂໍ້ຄວາມໃຫ້ຜູ້ຊົມໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດກ່ອນການກະຕຸ້ນລະຫັດຜ່ານແລະຫຼັງຈາກຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ.
ອ່ານຕໍ່: ວິທີການສະແດງຂໍ້ຄວາມປ້າຍໂຄສະນາ SSH & MOTD
5. ການເຂົ້າລະຫັດແບບບໍ່ມີລະຫັດ
ການເຂົ້າລະຫັດຜ່ານດ້ວຍລະຫັດຜ່ານ SSH ໜ້ອຍ ລົງກັບ SSH keygen ຈະສ້າງຄວາມ ສຳ ພັນທີ່ໄວ້ວາງໃຈລະຫວ່າງສອງເຊີບເວີ Linux ເຊິ່ງເຮັດໃຫ້ການໂອນໄຟລ໌ແລະການຊິ້ງຂໍ້ມູນງ່າຍຂຶ້ນຫຼາຍ. ມັນມີປະໂຫຍດຫຼາຍຖ້າທ່ານ ກຳ ລັງຈັດການກັບການ ສຳ ຮອງຂໍ້ມູນແບບອັດຕະໂນມັດໄລຍະໄກ, ການປະຕິບັດການຂຽນອັກສອນໄລຍະໄກ, ການໂອນເອກະສານ, ການຈັດການສະຄິບທີ່ຢູ່ຫ່າງໄກແລະອື່ນໆໂດຍບໍ່ຕ້ອງໃສ່ຜ່ານແຕ່ລະຄັ້ງ.
ອ່ານຕໍ່: ວິທີການຕັ້ງຄ່າເຂົ້າລະຫັດຜ່ານ SSH