Fórum Root.cz

Hlavní témata => Server => Téma založeno: Jaro60 26. 11. 2021, 09:54:50

Název: Zabezpečení SSH serveru
Přispěvatel: Jaro60 26. 11. 2021, 09:54:50

dobrý deň
poprosím radu na nastavenie ssh serveru, konkrétne nastavenie ssh_config a sshd_config.
čo má byť povolené a čo zakázané?
v prílohe sú oba.
Základ som nastavil tak aby sa dalo prihlásiť len kľúčom a v UFW nastavené IP z ktorých sa dá prihlásiť.
Ďakujem

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Petr Krčmář 26. 11. 2021, 10:44:41

Především je třeba vědět, že ssh_config slouží ke konfiguraci klienta, ke konfiguraci serveru slouží sshd_config.

To podstatné je vypnout autentizaci heslem a používat výhradně přihlašování pomocí klíčů (https://www.root.cz/clanky/pouzivani-klicu-v-openssh/). Pak se dají udělat nějaké další drobnosti, které ale při vypnutém přihlašování heslem pak už nemají žádný dopad na bezpečnost.

Kód: [Vybrat]

PasswordAuthentication no
PubkeyAuthentication yes
Pak záleží na konkrétním dalším použití (třeba uzavření uživatele v domovském adresáři (https://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/)), ale k tomu by bylo potřeba rozšířit otázku.

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Jaro60 26. 11. 2021, 11:56:55

ďakujem
prihlasovanie kľúčom som nastavil ako prvé

poprosil by som ešte vysvetlenie k
GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no

o čom to je som našiel tu
https://linux.die.net/man/5/ssh_config (https://linux.die.net/man/5/ssh_config)
https://linux.die.net/man/5/ssh_config (https://linux.die.net/man/5/ssh_config)

len nikde som nenašiel prečo toto a takto a či to treba.
predpokladám, že ChrootDirectory uväzní užívateľa v domovskom adresári
ovšem ako na to. Default none, ak je viac užívateľov ako zadať?
ďakujem

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Petr Krčmář 26. 11. 2021, 13:11:43

GSSAPIAuthentication je funkce SSH 2, která umožňuje otevřít aplikační GSSAPI přes SSH klientovi. Nesouvisí to s bezpečností SSH. Pokud nevíte, k čemu to slouží, tak to nepotřebujete a nechejte to vypnuté.

O uvěznění uživatele jsem vám předtím odkaz na článek (https://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/). V něm je to celé podrobně popsané.

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Jaro60 26. 11. 2021, 13:58:25

Áno, prečítal som. Pochopil som to tak, že to je pre ftp.
To som riešil cez vsftpd.
Mal som na mysli prístup na terminál.

Název: Re:Zabezpečení SSH serveru
Přispěvatel: uwe.filter 26. 11. 2021, 16:14:13

Ještě je vhodné zakázat přihlašování přímo roota přes ssh (PermitRootLogin no), pokud už to v konfiguraci nemáš.

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Michal Kubeček 26. 11. 2021, 16:40:03

Citace: uwe.filter  26. 11. 2021, 16:14:13

Ještě je vhodné zakázat přihlašování přímo roota přes ssh (PermitRootLogin no), pokud už to v konfiguraci nemáš.

Ne

Název: Re:Zabezpečení SSH serveru
Přispěvatel: Jaro60 26. 11. 2021, 17:17:18

To mám.
Ale zmena nastala v sftpd. Po reštarte sftpd sa prihlásim len s kľúčom.
Mal som ale nastavené aj prihlásenie anon a to nefunguje, pýta kľúč.
Teraz to síce nepotrebujem ale na jar plánujem statickú IP a zdieľanie súborov pre web.