1. تمكين لافتة تحذير لمستخدمي ssh
قم بتعيين لافتة تحذير عن طريق تحديث sshd_config بالسطر التالي:
Banner /etc/issue
Sample /etc/issue file:
أنت تقوم بالوصول إلى نظام معلومات حكومة XYZ (XYZG) الذي يتم توفيره للاستخدام المصرح به فقط.
باستخدام IS هذا (الذي يتضمن أي جهاز متصل به) ، فإنك توافق على الشروط التالية:
+ تعترض XYZG بشكل روتيني وتراقب الاتصالات على هذا IS لأغراض تشمل ، على سبيل المثال لا الحصر ،
اختبار الاختراق ، ومراقبة الكومسيك ، وعمليات الشبكة والدفاع ، وسوء سلوك الأفراد (PM) ،
تحقيقات إنفاذ القانون (LE) ، ومكافحة التجسس (CI).
+ في أي وقت ، يجوز لـ XYZG فحص ومصادرة البيانات المخزنة في IS.
+ الاتصالات التي تستخدم ، أو البيانات المخزنة عليها ، ليست خاصة ، وتخضع للمراقبة الروتينية ،
الاعتراض والبحث ، ويمكن الكشف عنها أو استخدامها لأي غرض مرخص من XYZG.
+ يتضمن هذا IS التدابير الأمنية (على سبيل المثال ، المصادقة وضوابط الوصول) لحماية مصالح XYZG – لا
لمنفعتك الشخصية أو خصوصيتك.
+ على الرغم مما سبق ، فإن استخدام هذا IS لا يشكل موافقة على البحث الاستقصائي PM أو LE أو CI
أو مراقبة محتوى الاتصالات المميزة ، أو منتج العمل ، المتعلق بالتمثيل الشخصي
أو خدمات المحامين والمعالجين النفسيين أو رجال الدين ومساعديهم. مثل هذه الاتصالات والعمل
المنتج خاص وسري. انظر اتفاقية المستخدم للحصول على التفاصيل.
أعلاه عينة قياسية ، استشر فريقك القانوني للحصول على اتفاقية مستخدم محددة وتفاصيل الإشعار القانوني.
2. تعطيل ملفات .rhosts (التحقق)
لا تقرأ ال user’s ~/.rhosts and ~/.shosts files. قم بتحديث sshd_config بالإعدادات التالية:
IgnoreRhosts yes
يمكن لـ SSH محاكاة سلوك الأمر rsh المتقادم ، فقط قم بتعطيل الوصول غير الآمن عبر RSH.
3. تعطيل المصادقة القائمة على المضيف (التحقق)
لتعطيل المصادقة المستندة إلى المضيف ، قم بتحديث sshd_config بالخيار التالي:
HostbasedAuthentication no
4. تصحيح OpenSSH وأنظمة التشغيل
يوصى باستخدام أدوات مثل yum و apt-get و freebsd-update وغيرها للحفاظ على تحديث الأنظمة بأحدث تصحيحات الأمان:
5. Chroot OpenSSH (أقفل المستخدمين في أدلة منازلهم)
بشكل افتراضي ، يُسمح للمستخدمين بتصفح أدلة الخادم مثل / etc / و / bin وما إلى ذلك. يمكنك حماية ssh ، باستخدام chroot القائم على نظام التشغيل أو استخدام أدوات خاصة مثل rssh. مع إصدار OpenSSH 4.8p1 أو 4.9p1 ، لم تعد مضطرًا إلى الاعتماد على الاختراقات الخارجية مثل rssh أو إعدادات chroot (1) المعقدة لقفل المستخدمين في أدلة منازلهم. انظر منشور المدونة هذا حول توجيه ChrootDirectory الجديد لحبس المستخدمين في الدلائل الرئيسية الخاصة بهم.
6. تعطيل خادم OpenSSH على جهاز الكمبيوتر العميل
يمكن أن تعمل محطات العمل والكمبيوتر المحمول بدون خادم OpenSSH. إذا لم تقدم إمكانيات تسجيل الدخول ونقل الملفات عن بُعد لـ SSH ، فقم بتعطيل وإزالة خادم SSHD. يمكن لمستخدمي CentOS / RHEL تعطيل وإزالة opensh-server باستخدام الأمر yum:
$ sudo yum erase openssh-server
يمكن لمستخدم Debian / Ubuntu Linux تعطيل وإزالة نفس الأمر باستخدام الأمر apt / apt-get:
$ sudo apt-get remove openssh-server
قد تحتاج إلى تحديث برنامج iptables الخاص بك لإزالة قاعدة استثناء ssh. ضمن CentOS / RHEL / Fedora ، قم بتحرير الملفات / etc / sysconfig / iptables و / etc / sysconfig / ip6tables. بمجرد الانتهاء من إعادة تشغيل خدمة iptables:
# service iptables restart
# service ip6tables restart
7. نصائح إضافية من Mozilla
إذا كنت تستخدم OpenSSH الإصدار 6.7+ أو أحدث ، فجرّب الإعدادات التالية:
#################[ تحذير ]##############
# لا تستخدم أي مكان على نحو أعمى. قراءة sshd_config #
# صفحة رجل. يجب أن تفهم علم التشفير لـ #
# تعديل الإعدادات التالية. خلاف ذلك ، استخدم الإعدادات الافتراضية #
#################################
# خوارزميات HostKey المدعومة حسب ترتيب الأفضلية.
HostKey / etc / ssh / ssh_host_ed25519_key
HostKey / etc / ssh / ssh_host_rsa_key
HostKey / etc / ssh / ssh_host_ecdsa_key
# يحدد خوارزميات KEX (تبادل المفاتيح) المتاحة.
منحنى KexAlgorithms25519-sha256 @ libssh.org، ecdh-sha2-nistp521، ecdh-sha2-nistp384، ecdh-sha2-nistp256، diffie-hellman-group-exchange-sha256
# يحدد الأصفار المسموح بها
Ciphers chacha20-poly1305 @ openssh.com ، aes256-gcm @ openssh.com ، aes128-gcm @ openssh.com ، aes256-ctr ، aes192-ctr ، aes128-ctr
# يحدد خوارزميات MAC (رمز مصادقة الرسالة) المتاحة
MACs hmac-sha2-512-etm @ openssh.com ، hmac-sha2-256-etm @ openssh.com ، umac-128-etm @ openssh.com ، hmac-sha2-512 ، hmac-sha2-256 ، umac-128 @ openssh.com
# LogLevel VERBOSE يسجل بصمة مفتاح المستخدم عند تسجيل الدخول. هناك حاجة إلى الحصول على مسار تدقيق واضح للمفتاح الذي كان يستخدمه لتسجيل الدخول.
LogLevel VERBOSE
# الوصول إلى ملف مستوى السجل sftp (قراءة / كتابة / إلخ) التي لن يتم تسجيلها بسهولة بخلاف ذلك.
النظام الفرعي sftp / usr / lib / ssh / sftp-server -f AUTHPRIV -l INFO
يمكنك الحصول على قائمة بالشفرات والخوارزمية التي يدعمها خادم OpenSSH الخاص بك باستخدام الأوامر التالية:
$ ssh -Q cipher
$ ssh -Q cipher-auth
$ ssh -Q mac
$ ssh -Q kex
$ ssh -Q key