Loader

Як захистити SSH-сервер

Як захистити SSH-сервер – найкращі методи та можливості

Secure Shell, більше відомий як SSH, дозволяє користувачам або адміністраторам отримувати безпечний доступ до мереж. Це дозволяє адміністраторам віддалено конфігурувати чи контролювати свої сервери. SSH має кілька можливостей; його можна використовувати для безпечної передачі файлів, створення безпечних віддалених з’єднань з пристроями, користувачами або мережами, і навіть для автоматизації безпечних з’єднань та багатьох інших завдань.

Деякі основні характеристики SSH
(рівні SSH: транспортний, рівень автентифікації користувача, рівень підключення):
· Транспортний рівень: забезпечує шифрування та дешифрування даних, якими обмінюються користувачі. Він також перевіряє справжність сервера, забезпечуючи конфіденційність.
· Рівень автентифікації: засвідчує особистість клієнта, а рівень з’єднання управляє каналами, якими відбувається обмін даними.
· Шифрування SSH: шифрує весь трафік між клієнтом та сервером
· Підтримка тунелювання та переадресації портів: локальне, віддалене та динамічне
· X11: SSH включає переадресацію X11, дозволяючи використовувати графічний інтерфейс під час підключення.
· SSHD: підтримка SSH Daemon, який прослуховує запити на з’єднання та автентифікацію, запускає з’єднання.

Незважаючи на додаткові функції та можливості SSH, безпека, як і раніше, залежить від конфігурації як на стороні сервера, так і на стороні клієнта. Як і будь-яка слабка або неякісна конфігурація, вона може залишати обхідні зони або вразливості, якими можуть скористатися зловмисники.

Ось три прийоми, які допоможуть захистити ваш SSH-сервер:
1.Зміна налаштувань за замовчуванням
Якщо ви використовуєте SSH у повсякденній роботі, вам завжди слід змінювати стандартні налаштування. При створенні сервера SSH за замовчуванням використовується порт 22. Зміна стандартного порту створює проблеми для будь-якого зловмисника, який намагається знайти відкритий порт ssh-сервера або сканує відомі порти в пошуках зворотного зв’язку.

Крім того, зміна порту може обмежити атаки методом перебору. Ще один елемент за замовчуванням, який ви захочете змінити, – це логін root. Це коли ви підключаєтеся до сервера SSH як користувач root за замовчуванням. Оскільки більшість root або суперадмінів мають повний доступ та контроль над системою та її ресурсами, то якщо зловмисник зможе скористатися вашим логіном, він отримає повний контроль. Хорошою практикою є відключення входу root у конфігураційному файлі SSH: “PermitRootLogin” встановлюється значення “no”. Після відключення root login ви зможете контролювати доступ користувачів за допомогою окремих логінів, що призведе до простішого процесу аудиту для відстеження користувачів. Ще один параметр за замовчуванням, який варто змінити, – це автентифікація на основі пароля. Вкрадені паролі є однією з основних причин порушення безпеки. Тому перехід від автентифікації на основі паролів до автентифікації на основі сертифікатів піде на користь будь-якому користувачеві.

2. Застосування Bastion Host – Бастіонний хост, забезпечує доступ до приватних мереж, зазвичай зовнішніх, призначений для протистояння та стримування атак із зовнішніх мереж. Він часто ставиться перед файрволлом (або DMZ), оснащеним високою пропускною здатністю атак. Прикладами бастіонних вузлів можуть бути проксі-сервери, honeypots, FTP-сервери, DNS-сервери і т.д. Встановлення бастіонного вузла для SSH-з’єднання-це хороша практика, яка зміцнює вашу безпеку та допомагає захистити сервер та клієнтські канали.

3. Автентифікація за сертифікатом
Використання сертифікатів SSH є чудовою практикою у кібербезпеці. Вони дозволяють проводити автентифікацію з використанням відкритого ключа та вимагають підтвердження справжності сертифіката з кожного боку довіреним центром сертифікації. Завдяки цьому вони забезпечують велику безпеку, а з додатковими параметрами, такими як короткий життєвий цикл та додаткова інформація про користувача, забезпечують більш надійну автентифікацію порівняно з паролями чи іншими формами автентифікації.

Хоча кожна організація відрізняється за своєю інфраструктурою, завданнями та вимогами compliance, не всі методи можуть бути застосовані. Тим не менш, Fudo закликає всі організації дотримуватися кращих практик безпеки та усувати будь-які недоліки конфігурацій при захисті своєї інфраструктури.

Компанія Fudo Security орієнтується на передові методи та практики забезпечення безпеки та рекомендує також використовувати двофакторну автентифікацію OATH через Google authenticator, Duo Security або автентифікацію з відкритим ключем SSH для масштабування відповідно до вимог вашої інфраструктури.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Fudo і організації партнерських тренінгів звертайтеся, будь ласка: fast@oberig-it.com, +38 073 168 08 65.

Джерело: https://bit.ly/3pRHnAO