(Super Secure) Secure Shell vereinfacht
Seien wir ehrlich und sichern Secure Shell (oder SSH) kann ungefähr so verwirrend sein wie die Handlung des Film Primer. Aber wie im Film lohnt sich die Mühe. Obwohl Sie eine finden können Vollständige Anleitung zur sicheren, sicheren Shell Online geben wir Ihnen einen Überblick über einige der Best Practices, die Sie befolgen müssen, wenn Sie bei der Verwendung von SSH wirklich sicher sein möchten. Sie werden überrascht sein, wie einfach es ist, zuzuhören, wenn es nicht richtig eingerichtet ist.
Best Practices für die Sicherung von SSH
Hier finden Sie eine Zusammenfassung der wichtigsten Punkte, die Sie sorgfältig prüfen sollten, wenn Sie SSH verwenden und sicher bleiben möchten.
- Schlüsselaustausch - Grundsätzlich sollten Sie Diffie-Hellman oder Elliptic Curve Diffie-Hellman verwenden, um einen Schlüsselaustausch durchzuführen. Dies liegt daran, dass beide Vorwärtsgeheimnisse bieten, was es für die Menschen schwieriger macht, zu schnüffeln. Wie Sie wahrscheinlich wissen, unterstützt OpenSSH derzeit 8 Schlüsselaustauschprotokolle. Diejenigen, die Sie verwenden möchten, sind Kurve25519-sha256: ECDH vorbei Curve25519 mit SHA2 ODER diffie-hellman-group-exchange-sha256: Benutzerdefinierte DH mit SHA2.
- Serverauthentifizierung - Sie können vier Public-Key-Algorithmen für die Serverauthentifizierung verwenden. Von diesen vier ist es am besten (um sicher zu sein), RSA mit SHA1 für Ihre Serverauthentifizierungsanforderungen zu verwenden. Der Trick besteht darin, sicherzustellen, dass Sie die Algorithmen für öffentliche Schlüssel deaktivieren, die Sie NICHT verwenden werden. Dies ist mit wenigen Befehlen leicht zu handhaben. Stellen Sie sicher, dass Sie Init-Dateien nicht die Schlüssel neu laden, die Sie nicht verwenden möchten.
- Client-Authentifizierung - Nachdem Sie etwas Sichereres eingerichtet haben, möchten Sie sicherstellen, dass Sie die Kennwortauthentifizierung deaktivieren, die für Brute-Force-Angriffe anfällig ist. Es ist viel besser, die Authentifizierung mit öffentlichem Schlüssel zu verwenden - genau wie auf der Serverseite. Eine andere Möglichkeit ist die Verwendung von OTP (Einmalkennwörtern), um es den Bösen zu erschweren, Ihre sichere Datenverbindung zu durchsuchen, um mehr über Sie zu erfahren.
- Benutzerauthentifizierung - Dies ist ein wichtiger Aspekt beim Einrichten eines Servers, um wirklich sichere SSH-Verbindungen zu akzeptieren. Grundsätzlich möchten Sie eine Whitelist der zulässigen Benutzer erstellen. Dadurch wird verhindert, dass sich jemand, der nicht auf der Liste steht, überhaupt anmeldet. Wenn Sie eine große Anzahl von Benutzern haben, die über SSH eine Verbindung zum Server herstellen, möchten Sie AllowGroups anstelle von AllowUser verwenden. Dies ist jedoch noch relativ einfach einzurichten.
- Symmetrische Chiffren - Wenn es um symmetrische Chiffren geht, stehen Ihnen einige Algorithmen zur Verfügung. Es liegt wieder an Ihnen, die besten für die Sicherheit auszuwählen. In diesem Fall möchten Sie chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr und aes128-ctr verwenden.
- Nachrichtenauthentifizierungscodes - Wenn Sie einen AE-Verschlüsselungsmodus verwenden, müssen Sie sich keine Gedanken über MACs machen, da diese bereits enthalten sind. Wenn Sie dagegen die CTR-Route gewählt haben, möchten Sie MAC verwenden, um jede Nachricht zu markieren. Encrypt-then-MAC ist die einzige Methode, die verwendet werden sollte, wenn Sie sicherstellen möchten, dass Sie bei der Verwendung von SSH so sicher wie möglich sind.
- Verkehrsanalyse - Zu guter Letzt möchten Sie verwenden Tor versteckte Dienste für Ihre SSH-Server. Wenn Sie dies verwenden, werden Sie es den Bösen noch schwerer machen, indem Sie eine weitere Schutzschicht hinzufügen. Wenn Sie kein LAN verwenden, müssen Sie dies deaktivieren.
Wenn Sie alle oben genannten Punkte überprüft und geändert haben, möchten Sie sie ausführen ssh-v um die Änderungen zu überprüfen, die Sie an Ihrem System vorgenommen haben. Mit diesem einfachen Befehl werden alle Algorithmen aufgelistet, für die Sie sich entschieden haben, damit Sie Ihre Arbeit problemlos überprüfen können.
Härten Sie auch Ihr System!
Das sind gute Tipps für jedem Server mit dem Internet verbunden, aber sie sind auch äußerst nützlich, um sicherzustellen, dass Ihre SSH-Verbindungen so sicher wie möglich sind.
- Installieren Sie nur die erforderliche Software. Mehr Code bedeutet mehr Möglichkeiten für Fehler und Exploits, die von böswilligen Hackern verwendet werden können.
- Verwenden Sie die FOSS (Freie / Open Source Software) wenn möglich, um sicherzustellen, dass Sie Zugriff auf den Quellcode haben. Auf diese Weise können Sie den Code selbst überprüfen.
- Aktualisieren Sie Ihre Software so oft wie möglich. Dies hilft Ihnen, bekannte Probleme zu vermeiden, die von den Bösen ausgenutzt werden können.
Wie bereits erwähnt, sollten Sie die obigen Tipps ausführen, unabhängig davon, ob Sie versuchen, Ihre SSH-Verbindungen zum Server zu sichern.
Der SSL-Imbiss
Selbst wenn etwas das Wort "sicher" oder "sicher" im Namen hat, bedeutet dies nicht, dass es gegen Angriffe so hart wie möglich ist, wenn Sie es nicht richtig einrichten. Wenn Sie für einen Server verantwortlich sind und häufig SSH verwenden, um eine Verbindung zu ihm herzustellen (oder anderen dies zu ermöglichen), sollten Sie sich die Zeit nehmen, ihn korrekt einzurichten, um sicherzustellen, dass Sie maximale Sicherheit haben.
Bei SSL.com glauben wir daran, das zu machen Best Practices für SSL so einfach zu verstehen und umzusetzen wie möglich.
