(سوبر آمن) Secure Shell مبسط
دعونا نواجه الأمر ، وتأمين تأمين شل (أو SSH) يمكن أن يكون مربكًا مثل حبكة فيلم التمهيدي. لكن ، مثل الفيلم ، يستحق كل هذا الجهد. على الرغم من أنه يمكنك العثور على ملف دليل كامل على غلاف آمن آمن عبر الإنترنت ، سنقدم لك نظرة عامة على بعض أفضل الممارسات التي تحتاج إلى اتباعها إذا كنت تريد حقًا أن تكون آمنًا عند استخدام SSH. قد تندهش من مدى سهولة الاستماع إذا لم يتم إعداده بشكل صحيح.
أفضل الممارسات لتأمين SSH
فيما يلي ملخص للأشياء الرئيسية التي تريد التفكير فيها بعناية إذا كنت تستخدم SSH وتريد أن تظل آمنًا وآمنًا.
- تبادل المفتاح - في الأساس ، سترغب في استخدام: Diffie-Hellman أو Elliptic Curve Diffie-Hellman لإجراء تبادل المفاتيح. هذا لأن كلاهما يوفر السرية إلى الأمام ، مما يجعل من الصعب على الناس التطفل. كما تعلم على الأرجح ، يدعم OpenSSH حاليًا 8 بروتوكولات لتبادل المفاتيح. تلك التي تريد استخدامها هي منحنى 25519-sha256: ECDH انتهى Curve25519 باستخدام SHA2 OR صعب-هيلمان-جروب-تبادل-شا 256: DH مخصص مع SHA2.
- مصادقة الخادم - يمكنك استخدام أربع خوارزميات المفتاح العام لمصادقة الخادم. من بين هؤلاء الأربعة ، أفضل رهان (لتكون آمنًا) هو استخدام RSA مع SHA1 لاحتياجات مصادقة الخادم الخاص بك. الحيلة هي التأكد من تعطيل خوارزميات المفتاح العام التي لن تستخدمها. يمكن التعامل مع هذا بسهولة مع بعض الأوامر. تأكد من أن ملفات init لا تعيد تحميل المفاتيح التي لا تريد استخدامها.
- مصادقة العميل - بعد أن تقوم بإعداد شيء أكثر أمانًا ، فأنت تريد التأكد من تعطيل مصادقة كلمة المرور ، والتي تكون عرضة لهجمات القوة الغاشمة. من الأفضل استخدام مصادقة المفتاح العام - تمامًا كما هو الحال على جانب الخادم. هناك خيار آخر وهو استخدام OTP (كلمات مرور لمرة واحدة) لجعل من الصعب على الأشرار التطفل على اتصال البيانات الآمن لمحاولة معرفة المزيد عنك.
- مصادقة المستخدم - يعد هذا جانبًا مهمًا في إعداد خادم لقبول اتصالات SSH الآمنة حقًا. بشكل أساسي ، تريد إنشاء قائمة بيضاء بالمستخدمين المسموح لهم. سيؤدي القيام بذلك إلى منع أي شخص غير موجود في القائمة من محاولة تسجيل الدخول. إذا كان لديك عدد كبير من المستخدمين الذين سيتصلون بالخادم عبر SSH ، فستحتاج إلى استخدام AllowGroups بدلاً من AllowUser ، ولكن لا يزال من السهل نسبيًا إعداده.
- الأصفار المتناظرة - عندما يتعلق الأمر بالأصفار المتماثلة ، فلديك بعض الخوارزميات المتاحة. مرة أخرى ، الأمر متروك لك لاختيار أفضلها للأمان. في هذه الحالة ، سترغب في استخدام chacha20-poly1305@openssh.com و aes256-gcm@openssh.com و aes128-gcm@openssh.com و aes256-ctr و aes192-ctr و aes128-ctr.
- رموز مصادقة الرسائل - إذا كنت تستخدم وضع تشفير AE ، فلا داعي للقلق بشأن أجهزة MAC لأنها مضمنة بالفعل. من ناحية أخرى ، إذا ذهبت إلى مسار نسبة النقر إلى الظهور (CTR) ، فستحتاج إلى استخدام MAC لوضع علامة على كل رسالة. Encrypt-then-MAC هي الطريقة الوحيدة التي يجب استخدامها إذا كنت تريد التأكد من أنك آمن قدر الإمكان عند استخدام SSH.
- تحليل حركة المرور - أخيرًا وليس آخرًا ، سترغب في استخدام ملفات خدمات تور المخفية لخوادم SSH الخاصة بك. باستخدام هذا ، ستجعل الأمر أكثر صعوبة على الأشرار بإضافة طبقة أخرى من الحماية. إذا كنت لا تستخدم شبكة LAN ، فتأكد من إيقاف تشغيلها.
عندما تنتهي من فحص كل ما سبق وتغييره ، سترغب في الجري سش -v للتحقق من التغييرات التي أجريتها على نظامك. سيقوم هذا الأمر البسيط بسرد جميع الخوارزميات التي قررت استخدامها حتى تتمكن من التحقق من عملك بسهولة.
أيضا ، صلّب نظامك!
هذه نصائح جيدة لـ أي وقت خادم متصل بالإنترنت ، لكنها أيضًا مفيدة للغاية للتأكد من أن اتصالات SSH الخاصة بك آمنة قدر الإمكان.
- قم بتثبيت البرامج الضرورية فقط. المزيد من الكود يعني المزيد من الفرص للأخطاء والمآثر التي يمكن أن يستخدمها المتسللون الضارون.
- استعمل البرمجيات (برنامج مجاني / مفتوح المصدر) عندما يكون ذلك ممكنًا لضمان وصولك إلى شفرة المصدر. سيسمح لك ذلك بفحص الكود بنفسك.
- تحديث البرنامج الخاص بك كلما كان ذلك ممكنا. سيساعدك هذا على تجنب المشكلات المعروفة التي يمكن أن يستغلها الأشرار.
كما ذكرنا ، فإن النصائح أعلاه هي أشياء يجب عليك القيام بها سواء كنت تحاول تأمين اتصالات SSH بالخادم أم لا.
الوجبات الجاهزة SSL
تتمثل فكرة SSL في أنه حتى إذا كان هناك شيء يحتوي على كلمة "آمن" أو "أمان" في اسمه ، فهذا لا يعني أنه سيكون أقوى ضد الهجمات قدر الإمكان إذا لم تقم بإعداده بشكل صحيح. إذا كنت مسؤولاً عن خادم وكنت تستخدم SSH بشكل متكرر للاتصال به (أو تسمح للآخرين بذلك) ، فستحتاج إلى تخصيص الوقت لإعداده بشكل صحيح للتأكد من حصولك على أقصى درجات الأمان.
في SSL.com ، نؤمن بجعل أفضل ممارسات SSL سهلة الفهم والتنفيذ قدر الإمكان.
