SSH trên Linux và bảo mật trên SSH
Trang 1 trong tổng số 1 trang
SSH trên Linux và bảo mật trên SSH
ngocyen_102c 15/11/2010, 02:01
Trên Linux hiện nay người ta không còn sử dụng telnet đe cấu hình từ xa nữa mà sử dụng SSH, cơ chế này cũng giống y hệt Telnet nhưng bảo mật hơn rất nhiêu vì dữ liệu sẽ được mã hóa trên đường truyền
Để sử dụng được SSH thì bạn cần có gói :
openssh-server-…rpm
Cài đặt SSH:
+ Trong RedHat và Fedora:
- Nếu đã có sẵn gói SSH Server
# rpm –ivh openssh-server-…rpm
- Nếu chưa có sẵn:
#yum install openssh-server ( lệnh này chỉ thực hiện được trên Fedora và bắt buộc phải có kết nối đến Internet )
+ Trong Ubuntu/Debian
- Nếu đã có gói .deb sẵn
#dpkg openssh-server-….deb
- Nếu chưa có .deb
#apt-get update
#apt-get install openssh-server
<O
*Sau khi cài đặt xong thì khởi động dịch vụ SSH
#service sshd start
#/etc/initd.d/sshd start
<O
SSH sử dụng port 22 và file cấu hình là : /etc/ssh/sshd_config
<O
Cấu hình bảo mật cho SSH
<O
1. Thay đổi port SSH , không sử dụng port mặc định 22
Trong file /etc/ssh/sshd_config trường:
Port 22
<O
2. Sử dụng SSH2 thay vì SSH1. SSH 1 thường gặp phải vấn đề bảo mật với kiểu tấn công man-in-the-middle và insertion.
Mở file /etc/ssh/sshd_config và tìm dòng sau:
Protocol 2,1
Thay đổi dòng thành protocol 2.
<O
3. Giới hạn chỉ cho phép 1 số đối tượng vào SSH, không cho root đăng nhập vì root có quá nhiều đặt quyền và dễ bị tấn công
- Không cho root : Mở file /etc/ssh/sshd_config và tìm dòng sau:
PermitRootLogin yes
Sửa yes thành no để cấm root
- Tạo danh sách chỉ cho phép các người dùng trong danh sách truy xuất: cuối file sshd_config thêm vào dòng sau:
<O
AllowUsers anze dasa kimy .. ( các user cách nhau bằng space )
4. Thay vì sử dụng tên và mật khẩu thì sử dụng khoá DSA:
Sử dụng cơ chế thẩm định khoá công cộng DSA cho phép hệ thống ngăn chặn được kiểu tấn công theo sách vở, vì bạn có thể đăng nhập vào dịch vụ SSH mà không cần dùng đến tên và mật khẩu. Thay vào đó, bạn cần một cặp khoá DSA: một khoá chung (public) và một khoá riêng (private). Khoá riêng được giữ trên máy của bạn, còn khoá chung được đưa lên server. Khi muốn đăng nhập vào một phiên SSH, server sẽ kiểm tra khoá. Nếu tất cả thông số đều khớp, bạn được đưa vào hệ thống. Nếu khoá không khớp, kết nối bị ngắt.
Ví dụ có 2 máy A và B, A là Server SSH , cả A và B hiện đang ở root.
a) tạo 1 cặp khoá trên B:
#ssh-keygen –t dsa
Trong quá trình tạo nó sẽ đòi bạn nhập Passphrase, cứ để trống trong phần này.
Sau khi chạy xong thì khoá:
Private à /root/.ssh/id_dsa
Public à /root/.ssh/id_dsa.pub
b) Copy khoá public lên máy chủ A nhưng đặt tại /root/.ssh/authorized_keys. Nếu file này đã có rồi thì add vào cuối file nội dung của khóa Public của B.
c) Thiết lập quyền cho authorized_keys :
~$ chmod 600 ~/.ssh/authorized_keys
d) Cấu hình SSH để thẩm định khoá DSA
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
e) Khởi động lại dịch vụ
5. Sử dụng iptables để bảo mật cho SSH ( phần này mình không trình bày vì liên quan đến iptables )
Chúc các bạn sẽ xây dựng được hệ thống SSH an toàn. Hihi.
Để sử dụng được SSH thì bạn cần có gói :
openssh-server-…rpm
Cài đặt SSH:
+ Trong RedHat và Fedora:
- Nếu đã có sẵn gói SSH Server
# rpm –ivh openssh-server-…rpm
- Nếu chưa có sẵn:
#yum install openssh-server ( lệnh này chỉ thực hiện được trên Fedora và bắt buộc phải có kết nối đến Internet )
+ Trong Ubuntu/Debian
- Nếu đã có gói .deb sẵn
#dpkg openssh-server-….deb
- Nếu chưa có .deb
#apt-get update
#apt-get install openssh-server
<O
*Sau khi cài đặt xong thì khởi động dịch vụ SSH
#service sshd start
#/etc/initd.d/sshd start
<O
SSH sử dụng port 22 và file cấu hình là : /etc/ssh/sshd_config
<O
Cấu hình bảo mật cho SSH
<O
1. Thay đổi port SSH , không sử dụng port mặc định 22
Trong file /etc/ssh/sshd_config trường:
Port 22
<O
2. Sử dụng SSH2 thay vì SSH1. SSH 1 thường gặp phải vấn đề bảo mật với kiểu tấn công man-in-the-middle và insertion.
Mở file /etc/ssh/sshd_config và tìm dòng sau:
Protocol 2,1
Thay đổi dòng thành protocol 2.
<O
3. Giới hạn chỉ cho phép 1 số đối tượng vào SSH, không cho root đăng nhập vì root có quá nhiều đặt quyền và dễ bị tấn công
- Không cho root : Mở file /etc/ssh/sshd_config và tìm dòng sau:
PermitRootLogin yes
Sửa yes thành no để cấm root
- Tạo danh sách chỉ cho phép các người dùng trong danh sách truy xuất: cuối file sshd_config thêm vào dòng sau:
<O
AllowUsers anze dasa kimy .. ( các user cách nhau bằng space )
4. Thay vì sử dụng tên và mật khẩu thì sử dụng khoá DSA:
Sử dụng cơ chế thẩm định khoá công cộng DSA cho phép hệ thống ngăn chặn được kiểu tấn công theo sách vở, vì bạn có thể đăng nhập vào dịch vụ SSH mà không cần dùng đến tên và mật khẩu. Thay vào đó, bạn cần một cặp khoá DSA: một khoá chung (public) và một khoá riêng (private). Khoá riêng được giữ trên máy của bạn, còn khoá chung được đưa lên server. Khi muốn đăng nhập vào một phiên SSH, server sẽ kiểm tra khoá. Nếu tất cả thông số đều khớp, bạn được đưa vào hệ thống. Nếu khoá không khớp, kết nối bị ngắt.
Ví dụ có 2 máy A và B, A là Server SSH , cả A và B hiện đang ở root.
a) tạo 1 cặp khoá trên B:
#ssh-keygen –t dsa
Trong quá trình tạo nó sẽ đòi bạn nhập Passphrase, cứ để trống trong phần này.
Sau khi chạy xong thì khoá:
Private à /root/.ssh/id_dsa
Public à /root/.ssh/id_dsa.pub
b) Copy khoá public lên máy chủ A nhưng đặt tại /root/.ssh/authorized_keys. Nếu file này đã có rồi thì add vào cuối file nội dung của khóa Public của B.
c) Thiết lập quyền cho authorized_keys :
~$ chmod 600 ~/.ssh/authorized_keys
d) Cấu hình SSH để thẩm định khoá DSA
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
e) Khởi động lại dịch vụ
5. Sử dụng iptables để bảo mật cho SSH ( phần này mình không trình bày vì liên quan đến iptables )
Chúc các bạn sẽ xây dựng được hệ thống SSH an toàn. Hihi.
ngocyen_102c- Tổng số bài gửi : 37
Join date : 01/11/2010
Similar topics» SystemRescueCD - Đĩa Cứu Hộ Trên Linux
» Hướng dẫn ghi Syslog trên Linux OS
» Cài nhiều hệ điều hành linux trên cùng 1 máy
» Cài đặt và cấu hình DHCP trên Linux.
» Quản lý tiến trình trên Linux
» Hướng dẫn ghi Syslog trên Linux OS
» Cài nhiều hệ điều hành linux trên cùng 1 máy
» Cài đặt và cấu hình DHCP trên Linux.
» Quản lý tiến trình trên Linux
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết