Sida 1 av 1
Howto: Gör SSH mer säker
Postat: 18 feb 2007, 22:49
av rancor
http://ubuntu-se.org/Wiki/G%C3%B6r_SSH_mer_s%C3%A4ker
Har precis skrivit den, kan finnas saker att ändra så jag tar tacksamt mot synpunkter eller så ändrar ni själva. Det är ju det fina med wikis
SV: Howto: Gör SSH mer säker
Postat: 18 feb 2007, 23:00
av Emil.s
Om man är riktigt panaroid så kan man ju lägga till "-b 8192" till "ssh-keygen". Så får man en riktigt fet nyckel.
Men det kanske bara är för extremfall.
EDIT:
Och så är ju "fail2ban" ett helt underbart program. Men det kanske ska ha en egen sida?
SV: Howto: Gör SSH mer säker
Postat: 18 feb 2007, 23:21
av johanre
Bra, rancor! En sak som slog mig är att det kan vara på plats att lägga in lite förklarande text som kan belysa frågorna kring relativ säkerhet. Vad jag menar är: att sätta ssh servern på en annan port än 22 tycker jag är bra och något jag regelbundet rekommenderar. Men, det är inget som i sig ökar din säkerhet; framförallt så slipper du en massa script-kiddies som knackar på jämt och ständigt - inget mer utöver det.
Är det värt att ta upp eller skulle det bara förvirra folk?
SV: Howto: Gör SSH mer säker
Postat: 18 feb 2007, 23:43
av rancor
Johan R-E skrev:
Bra, rancor! En sak som slog mig är att det kan vara på plats att lägga in lite förklarande text som kan belysa frågorna kring relativ säkerhet. Vad jag menar är: att sätta ssh servern på en annan port än 22 tycker jag är bra och något jag regelbundet rekommenderar. Men, det är inget som i sig ökar din säkerhet; framförallt så slipper du en massa script-kiddies som knackar på jämt och ständigt - inget mer utöver det.
Är det värt att ta upp eller skulle det bara förvirra folk?
Jo, det bör kanske tilläggas och om du vill får du gärna lägga till det annars gör jag det. Det är dock så att jag tycker man ökar säkerheten på så sätt att man minskar även chansen att bli måltavla samt om någon sårbarhet upptäcks och en mask eller liknande skulle fara omkring så är just den risken minimerad.
// rancor
SV: Howto: Gör SSH mer säker
Postat: 10 okt 2007, 03:20
av sund
man kan även lägga till
för din egen andvändare om endast denna andvändare ska få ssh'a till burken, om man nu har fler än bara en andvändare förstås
SV: Howto: Gör SSH mer säker
Postat: 14 okt 2007, 19:46
av rancor
sund skrev:
man kan även lägga till
för din egen andvändare om endast denna andvändare ska få ssh'a till burken, om man nu har fler än bara en andvändare förstås
Sant. Det är helt klart en fördel att begränsa vilken användare som skall få använda SSH och detta skall jag komplettera wikin med
SV: Howto: Gör SSH mer säker
Postat: 04 jan 2008, 01:59
av finkel
Jag har förmodligen missat det men hur ska jag göra om jag vill ansluta från en annan maskin och mer specifikt en windows burk med Puttty på t.ex? Vart ligger den publika nyckeln och måste jag göra någonting med den eller är det bara en textfil som jag kan kopiera på valfritt sätt? Vilket certifikatformat är den i?
Får allt att fungera enl. guiden men jag vill gärna kunna ansluta från andra maskiner
Mvh
SV: Howto: Gör SSH mer säker
Postat: 04 jan 2008, 16:04
av rancor
finkel skrev:
Jag har förmodligen missat det men hur ska jag göra om jag vill ansluta från en annan maskin och mer specifikt en windows burk med Puttty på t.ex? Vart ligger den publika nyckeln och måste jag göra någonting med den eller är det bara en textfil som jag kan kopiera på valfritt sätt? Vilket certifikatformat är den i?
Får allt att fungera enl. guiden men jag vill gärna kunna ansluta från andra maskiner
Mvh
Den publika nyckeln är den som installeras på servrarna eller de resurser som man vill komma åt. Den privata är den nyckel som du alltid bär med dig och som du inte lämnar ut till något och som därför används på klienten. Klienten kan vara t.ex. PuTTY.
Den publika är ju redan installerad på servern och på din klient hittar du din privata och det är denna som du måste konvertera om du skall använda PuTTY.
När du installerade PuTTY fick du ett gäng program om du installerade hela kittet vilket jag starkt kan rekommendera (
http://www.chiark.greenend.org.uk/~sgtatham/putty/)
Med programmet PuTTY Key Generator (PuTTYgen) kan du skapa men även konvertera nycklar. Ladda din privata SSH-nyckel och spara sedan nyckeln så får du den i rätt format.
Om man sedan sitter i Windows och använder bland annat PuTTY så finns PuTTY authentication agent (Pageant) som håller nycklar och lösenord i minnet så länge programmet är igång vilket är mycket trevligt om man behöver hoppa in och ut många gånger för då behöver man bara ange lösenordet för certifikatet en enda gång när man laddar agenten så sköter den om inloggningarna i fortsättningen.
// rancor
SV: Howto: Gör SSH mer säker
Postat: 16 jan 2008, 11:24
av finkel
Aha, då är jag med. Fick inte riktigt ihop hur det annars skulle gå till
SV: Howto: Gör SSH mer säker
Postat: 21 jan 2008, 00:48
av andol
Angående PermitRootLogin så är förvisso no allt som oftast den lämplig inställningen. Dock kan man ibland vilja automatisera lite remote-operationer krävandes root-behörighet och då är forced-commands-only en trevlig kompromiss.
SV: Howto: Gör SSH mer säker
Postat: 21 jan 2008, 02:48
av rancor
andol skrev:
Angående PermitRootLogin så är förvisso no allt som oftast den lämplig inställningen. Dock kan man ibland vilja automatisera lite remote-operationer krävandes root-behörighet och då är forced-commands-only en trevlig kompromiss.
Så sant: Mer om detta kan man läsa i manualen:
http://www.openbsd.org/cgi-bin/man.cgi? ... shd_config