Tag Archives: MimboloveSSH
Как настроить аутентификацию по SSH ключам с помощью PuTTY и Linux-сервера
В этом руководстве объясняется, как можно заменить SSH-аутентификацию на основе пароля аутентификацией на основе ключа, которая более безопасна, поскольку входить в систему могут только пользователи, которым принадлежит ключ. В этом примере мы используем PuTTY в качестве нашего SSH-клиента в системе Windows.
Сгенерируйте пару закрытого и открытого ключей
Откройте PuTTYgen.exe, нажмите кнопку сгенерировать, наведите курсор мыши. Как только ключи будут сгенерированы, введите ключевую фразу-пароль (выберите «трудно угадываемую»). Сохраните открытый ключ. Сохраните закрытый ключ.
Генератор ключей PuTTY
Настройте свой Linux-сервер (создайте пользователя, сохраните открытый ключ)
Для этого руководства давайте предположим, что ваше обычное имя для входа usr (замените его на то, которое вы используете регулярно). (далее…)
SCP (от англ. secure copy) — программа и протокол копирования файлов по сети. Эта утилита использует SSH для передачи данных (аутентификацию и шифрование что и SSH) SSH (англ. Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня).
Если при копировании исходного файла на целевой хост назначения, файл уже существует, то SCP перезаписывает файл назначения. Если файл назначения не существует, тогда создается нулевой файл, ему присваивается имя файла назначения и уже в него записывается содержимое копируемого файла.
Пример 1: Копируем файл «file.txt» из удаленного хоста на локальный хост.
(далее…)
Хорошая практика при использовании SSH использовать ключи шифрования, повышается безопасность за счет использования ключей и удобство за счет отключения функции ввода пароля. Для этого необходимо сгенерировать ключи шифрования открытый (публичный) и закрытый (приватный), скопировать публичный ключ на удаленный целевой хост, добавит этот ключ в хранилище и отключить авторизацию по паролю в службе sshd.
Сгенерируем RSA пару ключей на локальном компьютере:
(далее…)
Базовые настройки безопасности Cisco
При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco. (далее…)
Подключение к Интернету
с использованием серверов Ubuntu
Возможностей тонкой настройки межсетевого экрана и прокси-сервера на Linuxкомпьютерах несравнимо больше, чем в Windows.
Классический межсетевой экран Linux — это пакет iptables. Функционал NAT
встроен в этот пакет. Настройка iptables несколько неудобна для обычного пользователя из-за большой функциональности, поэтому в Ubuntu для управления параметрами межсетевого экрана применяется программа ufw, имеющая упрощенный
Обеспечение доступа в Интернет 135
интерфейс настройки и вполне достаточная для защиты конкретного хоста (компьютера). Если же вы настраиваете доступ в Интернет для офиса, то необходимо задействовать возможности iptables, которые также будут описаны в этой главе.
Настройка ufw
После установки системы межсетевой экран в Ubuntu отключен. Включить его
можно командой
sudo ufw enable
Состояние межсетевого экрана (включен или выключен) можно увидеть, выполнив
команду sudo ufw status.
Если вы управляете сервером удаленно, то активизация межсетевого экрана приведет к потере с ним связи. Поэтому необходимо включить межсетевой экран, предварительно создав правило, разрешающее удаленное управление. Если у вас подключение по протоколу SSH, то для включения межсетевого экрана выполните
команду
sudo ufw allow proto tcp from any to any port 22
перед командой sudo ufw enable.
Правильным подходом для системных администраторов является первоначальный
запрет на все подключения с последующим открытием нужных протоколов. Для
этого служит команда выбора правил по умолчанию:
sudo ufw default deny
Правила доступа в ufw создать достаточно легко. Следует указать только нужное
действие (разрешение или запрет: allow/deny) и параметры протокола. Например,
команда sudo ufw allow 53 разрешит доступ к компьютеру по портам 53 (используется при работе DNS). Вместо указания портов можно писать имена служб (система
использует параметры служб, перечисленные в файле /etc/services, просмотрев его,
вы можете уточнить допустимые названия), например, sudo ufw allow smtp.
При необходимости максимально точно указать параметры фильтрации нужно
применять следующий синтаксис:
sudo ufw allow|deny proto <протокол> from <источник> port <порт>
to <назначение> port <порт>
В качестве протоколов указывают либо tcp, либо udp; в качестве источника/назначения можно указывать конкретные IP-адреса, подсети (например,
192.168.0.0/24) или any для любого назначения.
0