Как защитить SSH-сервер – лучшие методы и возможности
Secure Shell, более известный как SSH, позволяет пользователям или администраторам получать безопасный доступ к сетям. Это позволяет администраторам удаленно конфигурировать или контролировать свои серверы. SSH имеет несколько возможностей; его можно использовать для безопасной передачи файлов, создания безопасных удаленных соединений с устройствами, пользователями или сетями, а также для автоматизации безопасных соединений и многих других задач.
Некоторые основные характеристики SSH
(уровни SSH: транспортный, уровень аутентификации пользователя, уровень подключения):
· Транспортный уровень: обеспечивает шифрование и дешифрование данных, которыми обмениваются пользователи. Он также проверяет подлинность сервера, обеспечивая конфиденциальность.
· Уровень проверки подлинности: удостоверяет личность клиента, а уровень соединения управляет каналами, которыми происходит обмен данными.
· Шифрование SSH: шифрует весь трафик между клиентом и сервером
· Поддержка туннелирования и переадресации портов: локальное, удаленное и динамическое
· X11: SSH включает переадресацию X11, позволяя использовать графический интерфейс при подключении.
· SSHD: поддержка SSH Daemon, который прослушивает запросы на соединение и аутентификацию, запускает соединение.
Несмотря на дополнительные функции и возможности SSH, безопасность по-прежнему зависит от конфигурации как на стороне сервера, так и на стороне клиента. Как и любая слабая или некачественная конфигурация, она может оставлять обходные зоны или уязвимости, которыми могут воспользоваться злоумышленники.
Вот три приема, которые помогут защитить ваш SSH-сервер:
1 .Изменение настроек по умолчанию
Если вы используете SSH в повседневной работе, вам всегда следует изменять стандартные настройки. При создании сервера SSH по умолчанию используется порт 22. Изменение стандартного порта создает проблемы для любого злоумышленника, пытающегося найти открытый порт ssh-сервера или сканирующего известные порты в поисках обратной связи.
Кроме того, смена порта может ограничить атаки методом перебора. Еще один элемент по умолчанию, который вы захотите изменить – это логин root. Это когда вы подключаетесь к серверу SSH как пользователь root по умолчанию. Поскольку большинство root или суперадминов имеют полный доступ и контроль над системой и ее ресурсами, если злоумышленник сможет воспользоваться вашим логином, он получит полный контроль. Хорошей практикой является отключение входа root в конфигурационном файле SSH: «PermitRootLogin» устанавливается «no». После отключения root login вы сможете контролировать доступ пользователей с помощью отдельных логинов, что приведет к более простому процессу аудита для отслеживания пользователей. Еще один параметр по умолчанию, который следует изменить – это аутентификация на основе пароля. Украденные пароли являются одной из основных причин нарушения безопасности. Поэтому переход от аутентификации на основе паролей к аутентификации на основе сертификатов пойдет на пользу любому пользователю.
2. Применение Bastion Host – Бастионный хост, обеспечивает доступ к частным сетям, обычно внешним, предназначен для противостояния и сдерживания атак из внешних сетей. Он часто ставится перед файрволлом (или DMZ), оснащенным высокой пропускной способностью атак. Примерами бастионных узлов могут быть прокси-серверы, honeypots, FTP-серверы, DNS-серверы и т.д. Установка бастионного узла для SSH-соединения – это хорошая практика, которая укрепляет вашу безопасность и помогает защитить сервер и клиентские каналы.
3. Аутентификация по сертификату
Использование сертификатов SSH прекрасная практика в кибербезопасности. Они позволяют проводить проверку подлинности с использованием открытого ключа и требуют подтверждения подлинности сертификата с каждой стороны доверенным центром сертификации. Благодаря этому они обеспечивают большую безопасность, а с дополнительными параметрами, такими как краткий жизненный цикл и дополнительная информация о пользователе, обеспечивают более надежную аутентификацию по сравнению с паролями или другими формами аутентификации.
Хотя каждая организация отличается по своей инфраструктуре, задачам и требованиям compliance, не все методы могут быть применены. Тем не менее, Fudo призывает все организации соблюдать лучшие практики безопасности и устранять любые недостатки конфигураций при защите своей инфраструктуры.
Компания Fudo Security ориентируется на передовые методы и практики обеспечения безопасности и рекомендует также использовать двухфакторную аутентификацию OATH через Google authenticator, Duo Security или аутентификацию с открытым ключом SSH для масштабирования в соответствии с требованиями вашей инфраструктуры.
Источник: https://bit.ly/3pRHnAO</a >
