Grunnleggende grunning for sikring av SSH

(Super Secure) Secure Shell Forenklet

Key Exchange er viktig for sikker SSH
Key Exchange er viktig for sikker SSH

La oss innse det, sikre Secure Shell (eller SSH) kan være omtrent like forvirrende som plottet til film Primer. Men i likhet med filmen er det verdt innsatsen. Selv om du kan finne en full guide på sikkert, sikkert skall online, skal vi gi deg en oversikt over noen av de beste fremgangsmåtene du må følge hvis du virkelig vil være sikker når du bruker SSH. Du kan bli overrasket over hvor enkelt det er å lytte inn hvis det ikke er riktig konfigurert.

Beste praksis for å sikre SSH

Her er et sammendrag av de viktigste tingene du vil vurdere nøye hvis du bruker SSH og ønsker å forbli trygt.

  • Nøkkelutveksling - I utgangspunktet vil du ønske å bruke: Diffie-Hellman eller Elliptic Curve Diffie-Hellman for å gjøre en nøkkelutveksling. Dette er fordi de begge gir fremover hemmelighold, noe som gjør det vanskeligere for folk å snuse. Som du sikkert vet støtter OpenSSH for tiden 8 nøkkelutvekslingsprotokoller. De du vil bruke er curve25519-SHA256: ECDH over Curve25519 med SHA2 ELLER Diffie-Hellman-gruppe-utveksling-SHA256: Tilpasset DH med SHA2.
  • Serverautentisering - Du kan bruke fire offentlige nøkkelalgoritmer for serverautentisering. Av disse fire er det beste alternativet (for å være sikker) å bruke RSA med SHA1 for serverautentiseringsbehovene dine. Trikset er å sørge for at du deaktiverer de offentlige nøkkelalgoritmene du IKKE skal bruke. Dette håndteres enkelt med noen få kommandoer. Forsikre deg om at init-filer ikke laster inn nøklene du ikke vil bruke på nytt.
  • Klientautentisering - Etter at du har satt opp noe sikrere, vil du sørge for at du deaktiverer passordgodkjenning, som er sårbar for brute force-angrep. Det er mye bedre å bruke autentisering av offentlig nøkkel - akkurat som på serversiden. Et annet alternativ er å bruke OTP (engangspassord) for å gjøre det vanskeligere for skurkene å lure på den sikre dataforbindelsen din for å prøve å lære mer om deg.
  • Bruker autentisering - Dette er et viktig aspekt ved å sette opp en server for å godta virkelig sikre SSH-tilkoblinger. I utgangspunktet vil du opprette en hvitliste over tillatte brukere. Å gjøre dette vil blokkere alle som ikke er på listen fra å prøve å logge på. Hvis du har et stort antall brukere som vil koble til serveren via SSH, vil du bruke AllowGroups i stedet for AllowUser, men dette er fortsatt relativt enkelt å konfigurere.
  • Symmetriske chiffer - Når det gjelder symmetriske krypter, har du noen få algoritmer tilgjengelig. Nok en gang er det opp til deg å velge de beste for sikkerhet. I dette tilfellet vil du ønske å bruke chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr og aes128-ctr.
  • Meldingsgodkjenningskoder - Hvis du bruker en AE-krypteringsmodus, trenger du ikke å bekymre deg for MAC fordi de allerede er inkludert. På den annen side, hvis du gikk CTR-ruten, vil du bruke MAC til å merke hver melding. Encrypt-then-MAC er den eneste metoden som skal brukes hvis du vil være sikker på at du er så sikker som mulig når du bruker SSH.
  • Trafikkanalyse - Sist men ikke minst, vil du ønske å bruke Tor skjulte tjenester for SSH-serverne dine. Ved å bruke dette, vil du gjøre det enda vanskeligere for skurkene ved å legge til enda et beskyttelseslag. Hvis du ikke bruker LAN, må du sørge for å slå det av.

Når du er ferdig med å sjekke og endre alt ovenfor, vil du ønske å løpe ssh -v for å sjekke endringene du har gjort i systemet ditt. Den enkle kommandoen vil liste opp alle algoritmene du bestemte deg for å bruke, slik at du enkelt kan dobbeltsjekke arbeidet ditt.

Herd ditt system!

Dette er gode tips til noen server koblet til internett, men de er også ekstremt nyttige for å sikre at SSH-tilkoblingene dine er så sikre som mulig.

  • Installer bare nødvendig programvare. Mer kode tilsvarer flere muligheter for feil og utnyttelser som kan brukes av ondsinnede hackere.
  • Bruk FOSS (Gratis / åpen kildekode-programvare) når det er mulig for å sikre at du har tilgang til kildekoden. Dette vil tillate deg å veterinere koden selv.
  • Oppdater programvaren så ofte som mulig. Dette vil hjelpe deg å unngå kjente problemer som kan utnyttes av skurkene.

Som nevnt er tipsene ovenfor ting du bør gjøre uansett om du prøver å sikre SSH-tilkoblingene dine til serveren.

SSL Takeaway

SSL-takeaway er at selv om noe har ordet "sikker" eller "sikkerhet" i navnet, betyr det ikke at det kommer til å bli så hardt mot angrep som mulig hvis du ikke konfigurerer det riktig. Hvis du har ansvaret for en server og ofte bruker SSH for å koble til den (eller tillate andre å), vil du ta deg tid til å konfigurere den riktig for å sikre at du har maksimal sikkerhet.

På SSL.com tror vi på å lage Best fremgangsmåter for SSL så lett å forstå og implementere som mulig.

Chris Kemmerer

Alle innlegg

Relaterte artikler

Vis alle artikler
Facebook Youtube Twitter Github

Abonner på SSL.coms nyhetsbrev

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen