Howto: Gör SSH mer säker

rancor · Inlägg av **rancor** » 18 feb 2007, 22:49

http://ubuntu-se.org/Wiki/G%C3%B6r_SSH_mer_s%C3%A4ker

Har precis skrivit den, kan finnas saker att ändra så jag tar tacksamt mot synpunkter eller så ändrar ni själva. Det är ju det fina med wikis

Emil.s · Inlägg av **Emil.s** » 18 feb 2007, 23:00

Om man är riktigt panaroid så kan man ju lägga till "-b 8192" till "ssh-keygen". Så får man en riktigt fet nyckel.

Men det kanske bara är för extremfall.

EDIT:
Och så är ju "fail2ban" ett helt underbart program. Men det kanske ska ha en egen sida?

Inlägg av **johanre** » 18 feb 2007, 23:21

Bra, rancor! En sak som slog mig är att det kan vara på plats att lägga in lite förklarande text som kan belysa frågorna kring relativ säkerhet. Vad jag menar är: att sätta ssh servern på en annan port än 22 tycker jag är bra och något jag regelbundet rekommenderar. Men, det är inget som i sig ökar din säkerhet; framförallt så slipper du en massa script-kiddies som knackar på jämt och ständigt - inget mer utöver det.

Är det värt att ta upp eller skulle det bara förvirra folk?

rancor · Inlägg av **rancor** » 18 feb 2007, 23:43

Johan R-E skrev: Bra, rancor! En sak som slog mig är att det kan vara på plats att lägga in lite förklarande text som kan belysa frågorna kring relativ säkerhet. Vad jag menar är: att sätta ssh servern på en annan port än 22 tycker jag är bra och något jag regelbundet rekommenderar. Men, det är inget som i sig ökar din säkerhet; framförallt så slipper du en massa script-kiddies som knackar på jämt och ständigt - inget mer utöver det.

Är det värt att ta upp eller skulle det bara förvirra folk?

Jo, det bör kanske tilläggas och om du vill får du gärna lägga till det annars gör jag det. Det är dock så att jag tycker man ökar säkerheten på så sätt att man minskar även chansen att bli måltavla samt om någon sårbarhet upptäcks och en mask eller liknande skulle fara omkring så är just den risken minimerad.

// rancor

sund · Inlägg av **sund** » 10 okt 2007, 03:20

man kan även lägga till

Kod: Markera allt

AllowUsers börjebus

för din egen andvändare om endast denna andvändare ska få ssh'a till burken, om man nu har fler än bara en andvändare förstås

rancor · Inlägg av **rancor** » 14 okt 2007, 19:46

sund skrev: man kan även lägga till
Kod: Markera allt
AllowUsers börjebus
för din egen andvändare om endast denna andvändare ska få ssh'a till burken, om man nu har fler än bara en andvändare förstås

Sant. Det är helt klart en fördel att begränsa vilken användare som skall få använda SSH och detta skall jag komplettera wikin med

finkel · Inlägg av **finkel** » 04 jan 2008, 01:59

Jag har förmodligen missat det men hur ska jag göra om jag vill ansluta från en annan maskin och mer specifikt en windows burk med Puttty på t.ex? Vart ligger den publika nyckeln och måste jag göra någonting med den eller är det bara en textfil som jag kan kopiera på valfritt sätt? Vilket certifikatformat är den i?

Får allt att fungera enl. guiden men jag vill gärna kunna ansluta från andra maskiner

Mvh

rancor · Inlägg av **rancor** » 04 jan 2008, 16:04

finkel skrev: Jag har förmodligen missat det men hur ska jag göra om jag vill ansluta från en annan maskin och mer specifikt en windows burk med Puttty på t.ex? Vart ligger den publika nyckeln och måste jag göra någonting med den eller är det bara en textfil som jag kan kopiera på valfritt sätt? Vilket certifikatformat är den i?

Får allt att fungera enl. guiden men jag vill gärna kunna ansluta från andra maskiner

Mvh

Den publika nyckeln är den som installeras på servrarna eller de resurser som man vill komma åt. Den privata är den nyckel som du alltid bär med dig och som du inte lämnar ut till något och som därför används på klienten. Klienten kan vara t.ex. PuTTY.

Den publika är ju redan installerad på servern och på din klient hittar du din privata och det är denna som du måste konvertera om du skall använda PuTTY.

När du installerade PuTTY fick du ett gäng program om du installerade hela kittet vilket jag starkt kan rekommendera (http://www.chiark.greenend.org.uk/~sgtatham/putty/)

Med programmet PuTTY Key Generator (PuTTYgen) kan du skapa men även konvertera nycklar. Ladda din privata SSH-nyckel och spara sedan nyckeln så får du den i rätt format.

Om man sedan sitter i Windows och använder bland annat PuTTY så finns PuTTY authentication agent (Pageant) som håller nycklar och lösenord i minnet så länge programmet är igång vilket är mycket trevligt om man behöver hoppa in och ut många gånger för då behöver man bara ange lösenordet för certifikatet en enda gång när man laddar agenten så sköter den om inloggningarna i fortsättningen.

// rancor

finkel · Inlägg av **finkel** » 16 jan 2008, 11:24

Aha, då är jag med. Fick inte riktigt ihop hur det annars skulle gå till

andol · Inlägg av **andol** » 21 jan 2008, 00:48

Angående PermitRootLogin så är förvisso no allt som oftast den lämplig inställningen. Dock kan man ibland vilja automatisera lite remote-operationer krävandes root-behörighet och då är forced-commands-only en trevlig kompromiss.

rancor · Inlägg av **rancor** » 21 jan 2008, 02:48

andol skrev: Angående PermitRootLogin så är förvisso no allt som oftast den lämplig inställningen. Dock kan man ibland vilja automatisera lite remote-operationer krävandes root-behörighet och då är forced-commands-only en trevlig kompromiss.

Så sant: Mer om detta kan man läsa i manualen: http://www.openbsd.org/cgi-bin/man.cgi? ... shd_config

Ubuntu Sverige

Howto: Gör SSH mer säker

Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker

SV: Howto: Gör SSH mer säker