(超级安全)安全外壳简化
让我们面对现实吧 安全外壳 (或 SSH的)可能与情节图一样令人困惑 电影入门。 但是,就像电影一样,值得付出努力。 虽然你可以找到一个 有关安全外壳的完整指南 在线,我们将为您提供一些概述,如果您确实希望在使用SSH时很安全,则需要遵循这些最佳实践。 如果未正确设置,收听它会多么容易,您可能会感到惊讶。
保护SSH的最佳做法
如果您使用SSH并希望保持安全,这是要仔细考虑的主要事项的摘要。
- 密钥交换 –基本上,您将要使用:Diffie-Hellman或椭圆曲线Diffie-Hellman进行密钥交换。 这是因为它们都提供前向保密性,这使人们更难以窥探。 您可能知道,OpenSSH当前支持8个密钥交换协议。 您要使用的是 曲线25519-sha256:ECDH以上 Curve25519 与SHA2 OR 迪菲-赫尔曼-组交换-sha256:使用SHA2的自定义DH。
- 服务器认证 –您可以使用四种公用密钥算法进行服务器身份验证。 在这四种方法中,最好的选择(为了安全)是将RSA和SHA1一起用于服务器身份验证需求。 诀窍在于确保禁用将不使用的公钥算法。 只需几个命令即可轻松处理。 确保您的init文件不会重新加载您不想使用的密钥。
- 客户端认证 –设置更安全的内容后,要确保禁用密码身份验证,该密码容易受到暴力攻击。 最好使用公用密钥身份验证–就像在服务器端一样。 另一种选择是使用OTP(一次性密码),以使坏人更难窥探您的安全数据连接,以尝试了解有关您的更多信息。
- 用户认证 –这是设置服务器以接受真正安全的SSH连接的重要方面。 基本上,您要创建允许用户的白名单。 这样做会阻止不在列表中的任何人尝试登录。 如果您有大量用户将通过SSH连接到服务器,则需要使用AllowGroups而不是AllowUser,但这仍然相对容易设置。
- 对称密码 –关于对称密码,您可以使用几种算法。 再一次,由您自行选择最佳的安全性。 在这种情况下,您将要使用chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr和aes128-ctr。
- 消息验证码 –如果使用的是AE密码模式,则无需担心MAC,因为它们已经包含在内。 另一方面,如果您选择了CTR路线,则将要使用MAC标记每条消息。 如果要确保使用SSH时尽可能安全,则应使用Encrypt-then-MAC。
- 流量分析 –最后但并非最不重要的一点,您将要使用 Tor隐藏服务 用于您的SSH服务器。 通过使用此功能,您将通过增加另一层保护来使坏人更加难受。 如果您不使用局域网,请确保将其关闭。
完成上述所有检查和更改后,您将需要运行 SSH -v 为了检查您对系统所做的更改。 该简单命令将列出您决定使用的所有算法,以便您可以轻松地再次检查工作。
另外,强化您的系统!
这些是关于 任何 服务器连接到Internet,但对于确保SSH连接尽可能安全也非常有用。
- 仅安装必要的软件。 更多的代码等于可以为恶意黑客所利用的错误和利用提供更多的机会。
- 使用 FOSS (免费/开源软件),以确保您可以访问源代码。 这将允许您自己审查代码。
- 更新您的软件 尽可能经常地。 这将帮助您避免坏人可以利用的已知问题。
如上所述,无论您是否尝试保护与服务器的SSH连接,上面的提示都是您应该做的事情。
SSL外卖
SSL的外带之处在于,即使名称中包含“安全”或“安全”一词,也并不意味着如果您没有正确设置它,它将对攻击进行尽可能的加固。 如果您负责服务器,并经常使用SSH连接到服务器(或允许其他人连接),那么您将需要花一些时间正确设置它,以确保获得最大的安全性。
在SSL.com,我们坚信 SSL最佳做法 尽可能容易理解和实施。
