Grundläggande grundfärg för att säkra SSH

(Super Secure) Secure Shell förenklat

Key Exchange är viktigt för Secure SSH
Key Exchange är viktigt för Secure SSH

Låt oss inse det, säkra Secure Shell (eller SSH) kan vara ungefär lika förvirrande som handlingen om film Primer. Men precis som filmen är det värt ansträngningen. Även om du kan hitta en full guide på säkert säkert skal online kommer vi att ge dig en översikt över några av de bästa metoderna du behöver följa om du verkligen vill vara säker när du använder SSH. Du kan bli förvånad över hur lätt det är att lyssna på om det inte är rätt inställt.

Bästa metoder för att säkra SSH

Här är en sammanfattning av de viktigaste sakerna du vill noggrant överväga om du använder SSH och vill vara säker och säker.

  • Nyckelutbyte - I grund och botten kommer du att vilja använda: Diffie-Hellman eller Elliptic Curve Diffie-Hellman för att göra en nyckelutbyte. Detta beror på att de båda ger framåt sekretess, vilket gör det svårare för människor att snoka. Som du säkert vet stöder OpenSSH för närvarande 8 nyckelutbytesprotokoll. De du vill använda är kurva25519-sha256: ECDH över Curve25519 med SHA2 ELLER Diffie-Hellman-grupp-exchange-sha256: Anpassad DH med SHA2.
  • Serververifiering - Du kan använda fyra algoritmer för allmän nyckel för serverautentisering. Av dessa fyra är din bästa satsning (för att vara säker) att använda RSA med SHA1 för dina serverautentiseringsbehov. Tricket är att se till att du inaktiverar de allmänna nyckelalgoritmerna du INTE ska använda. Detta hanteras enkelt med några få kommandon. Se till att init-filer inte laddar om de nycklar du inte vill använda.
  • Klientautentisering - När du har ställt in något säkrare vill du se till att du inaktiverar lösenordsautentisering, vilket är sårbart för brute force-attacker. Det är mycket bättre att använda autentisering av offentlig nyckel - precis som på serversidan. Ett annat alternativ är att använda OTP (engångslösenord) för att göra det svårare för skurkarna att snoopa på din säkra dataanslutning för att försöka lära dig mer om dig.
  • Användarautentisering - Detta är en viktig aspekt av att ställa in en server för att acceptera riktigt säkra SSH-anslutningar. I grund och botten vill du skapa en vitlista över tillåtna användare. Om du gör detta blockeras alla som inte finns på listan från att ens försöka logga in. Om du har ett stort antal användare som kommer att ansluta till servern via SSH, vill du använda AllowGroups istället för AllowUser, men det är fortfarande relativt enkelt att ställa in.
  • Symmetriska chiffer - När det gäller symmetriska kodningar har du några algoritmer tillgängliga. Återigen är det upp till dig att välja de bästa för säkerhet. I det här fallet kommer du att vilja använda chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr och aes128-ctr.
  • Koder för autentisering av meddelanden - Om du använder ett AE-chifferläge behöver du inte oroa dig för MAC eftersom de redan ingår. Å andra sidan, om du gick CTR-rutten, kommer du att vilja använda MAC för att märka varje meddelande. Encrypt-then-MAC är den enda metoden som ska användas om du vill vara säker på att du är så säker som möjligt när du använder SSH.
  • Trafikanalys - Sist men inte minst kommer du att vilja använda Tor dolda tjänster för dina SSH-servrar. Genom att använda detta kommer du att göra det ännu svårare för skurkarna genom att lägga till ytterligare ett lager av skydd. Om du inte använder LAN, se till att stänga av det.

När du är klar med att kontrollera och ändra alla ovanstående kommer du att vilja springa ssh -v för att kontrollera de ändringar du gjort i ditt system. Det enkla kommandot kommer att lista alla algoritmer du bestämde dig för att använda så att du enkelt kan dubbelkolla ditt arbete.

Härdar också ditt system!

Det här är bra tips för vilken som helst server ansluten till internet, men de är också extremt användbara för att se till att dina SSH-anslutningar är så säkra som möjligt.

  • Installera endast nödvändig programvara. Mer kod motsvarar fler möjligheter för buggar och exploater som kan användas av skadliga hackare.
  • Använda FOSS (Gratis / öppen källkodsprogramvara) när det är möjligt för att säkerställa att du har tillgång till källkoden. Detta gör att du själv kan veta koden.
  • Uppdatera din programvara så ofta som möjligt. Detta hjälper dig att undvika kända problem som kan användas av skurkarna.

Som nämnts är tipsen ovan saker du bör göra oavsett om du försöker säkra dina SSH-anslutningar till servern eller inte.

SSL Takeaway

SSL-takeaway är att även om något har ordet ”säker” eller ”säkerhet” i sitt namn, betyder det inte att det kommer att bli så härdat mot attacker som möjligt om du inte ställer in det korrekt. Om du ansvarar för en server och ofta använder SSH för att ansluta till den (eller tillåta andra) kommer du att vilja ta dig tid att ställa in den korrekt för att se till att du har maximal säkerhet.

På SSL.com tror vi på att göra SSL bästa praxis så lätt att förstå och implementera som möjligt.

Chris Kemmerer

Alla inlägg

Relaterade artiklar

Visa alla artiklar
Facebook youtube Twitter Github

Prenumerera på SSL.coms nyhetsbrev

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.

Ta undersökning