Open SSH serveris

OpenSSH ir standarta serviss un rīku komplekts pieslēgumu nodrošināšanai ar Unix/Linux sistēmām.

  1. Vienkāršākajā veidā to izmanto, lai pieslēgtos ar teksta termināli un izpildītu komandas uz attālināta servera.
  2. Ļoti bieži SSH protokolu un rīkus izmanto šifrētu datu pārraides tuneļu izveidei.

Saturs

Uzstādīšana

  1. Uzstāda SSH serveri:

    sudo apt-get install openssh-server
    Visas tālākās darbības ir neobligātas, bet ļoti ieteicamas.
  2. Lai novērstu rupja spēka metodes root lietotāja paroles meklēšanai, aizliedz SSH sesijas izveidi root lietotājam.

    sudo gedit /etc/ssh/sshd_config

    un izmaina rindu:

    #PermitRootLogin yes
    PermitRootLogin no
  3. Ja nepieciešams, nomaina SSH portu, piemēram uz 443:

    Port 443

    var arī norādīt vairāk par vienu portu, piemēram:

    Port 22
    Port 443
  4. Pārstartē serveri:

    sudo /etc/init.d/ssh restart

Spēka metodes paroles uzlaušanas aizliegšana

  1. Lai aizliegtu SSH sesijas uzlaušanu ar pilno pārlasi, izmantojot vārdnīcu ar pieteikšanās vārdiem un iespējamām parolēm, uzliek Denyhosts:

    sudo apt-get install denyhosts
  2. Ja nevēlas saņemt e-pasta ziņojumus par pievienotajiem aizliegumiem, failā  /etc/denyhosts.conf izmaina rindu uz:

    ...
    ADMIN_EMAIL =
    ...
  3. Lai /etc/hosts.deny fails nepaliktu bezgalīgi liels, ļauj izdzēst sliktos resursdatorus pēc 1 nedēļas. Failā /etc/denyhosts.conf atkomentē rindu:

    ...
    PURGE_DENY = 1w
    :...
  4. Pārstartē procesu:

    /etc/init.d/denyhosts restart

Kļūdu novēršana

SSH serveris ilgi atbild

Pēc noklusēšanas SSH serveris cenšas noteikt klienta DNS nosaukumu. Ja to nevar noteikt, tad pieprasījums izbeidzas tikai pēc noildzes. To var atslēgt failā /etc/ssh/sshd_config pievienojot rindu:

UseDNS no

Ja tiek aizliegta atļauta IP adrese

  1. Piesakās no cita datora
  2. root lietotājs aptur denyhost:

    /etc/init.d/denyhosts stop
  3. Izdzēš aizliegto adresi failos /etc/hosts.deny un /etc/hosts.deny.purge.bak:

    cd /etc/
    sed -i -e '/^.*111\.222\.333\.444.*$/d' hosts.deny
    sed -i -e '/^.*111\.222\.333\.444.*$/d' hosts.deny.purge.bak
  4. Izdzēš minēto adresi no /var/lib/denyhosts žurnālu failiem:

    cd /var/lib/denyhosts
    sed -i -e '/^.*111\.222\.333\.444.*$/d' *
  5. Palaiž denyhost:

    /etc/init.d/denyhosts start

IP adreses iekļaušana "baltajā sarakstā"

  1. Lai iekļautu IP adresi "baltajā sarakstā", atver failu /etc/hosts.allow un pievieno tajā rindu, piemēram:

    ALL: 127.0.0.1

Saites

 

Izveidojis Valdis Vītoliņš 2008-07-22 07:51
Pēdējais mainījis Valdis Vītoliņš 2017-07-22 16:28
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License