Zabezpečení SSH serveru

Zabezpečení SSH serveru
« kdy: 26. 11. 2021, 09:54:50 »
dobrý deň
poprosím radu na nastavenie ssh serveru, konkrétne nastavenie ssh_config a sshd_config.
čo má byť povolené a čo zakázané?
v prílohe sú oba.
Základ som nastavil tak aby sa dalo prihlásiť len kľúčom a v UFW nastavené IP z ktorých sa dá prihlásiť.
Ďakujem
« Poslední změna: 26. 11. 2021, 10:44:49 od Petr Krčmář »


Re:Zabezpečení SSH serveru
« Odpověď #1 kdy: 26. 11. 2021, 10:44:41 »
Především je třeba vědět, že ssh_config slouží ke konfiguraci klienta, ke konfiguraci serveru slouží sshd_config.

To podstatné je vypnout autentizaci heslem a používat výhradně přihlašování pomocí klíčů. Pak se dají udělat nějaké další drobnosti, které ale při vypnutém přihlašování heslem pak už nemají žádný dopad na bezpečnost.

Kód: [Vybrat]
PasswordAuthentication no
PubkeyAuthentication yes

Pak záleží na konkrétním dalším použití (třeba uzavření uživatele v domovském adresáři), ale k tomu by bylo potřeba rozšířit otázku.

Re:Zabezpečení SSH serveru
« Odpověď #2 kdy: 26. 11. 2021, 11:56:55 »
ďakujem
prihlasovanie kľúčom som nastavil ako prvé

poprosil by som ešte vysvetlenie k
GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no

o čom to je som našiel tu
https://linux.die.net/man/5/ssh_config
https://linux.die.net/man/5/ssh_config

len nikde som nenašiel prečo toto a takto a či to treba.
predpokladám, že ChrootDirectory uväzní užívateľa v domovskom adresári
ovšem ako na to. Default none, ak je viac užívateľov ako zadať?
ďakujem

Re:Zabezpečení SSH serveru
« Odpověď #3 kdy: 26. 11. 2021, 13:11:43 »
GSSAPIAuthentication je funkce SSH 2, která umožňuje otevřít aplikační GSSAPI přes SSH klientovi. Nesouvisí to s bezpečností SSH. Pokud nevíte, k čemu to slouží, tak to nepotřebujete a nechejte to vypnuté.

O uvěznění uživatele jsem vám předtím odkaz na článek. V něm je to celé podrobně popsané.

Re:Zabezpečení SSH serveru
« Odpověď #4 kdy: 26. 11. 2021, 13:58:25 »
Áno, prečítal som. Pochopil som to tak, že to je pre ftp.
To som riešil cez vsftpd.
Mal som na mysli prístup na terminál.


Re:Zabezpečení SSH serveru
« Odpověď #5 kdy: 26. 11. 2021, 16:14:13 »
Ještě je vhodné zakázat přihlašování přímo roota přes ssh (PermitRootLogin no), pokud už to v konfiguraci nemáš.

Re:Zabezpečení SSH serveru
« Odpověď #6 kdy: 26. 11. 2021, 16:40:03 »
Ještě je vhodné zakázat přihlašování přímo roota přes ssh (PermitRootLogin no), pokud už to v konfiguraci nemáš.
Ne

Re:Zabezpečení SSH serveru
« Odpověď #7 kdy: 26. 11. 2021, 17:17:18 »
To mám.
Ale zmena nastala v sftpd. Po reštarte sftpd sa prihlásim len s kľúčom.
Mal som ale nastavené aj prihlásenie anon a to nefunguje, pýta kľúč.
Teraz to síce nepotrebujem ale na jar plánujem statickú IP a zdieľanie súborov pre web.