Чтение онлайн

на главную - закладки

Жанры

Linux глазами хакера

Флёнов Михаил Евгеньевич

Шрифт:

□ 

Protocol
— поддерживаемые протоколы. Обратите внимание, что первым идет число 2, а затем 1. Это значит, что сервер будет сначала пытаться подключиться по протоколу второй версии, и только потом по первому. Я рекомендую убрать комментарии с этой строки и удалить число 1, чтобы использовалась только последняя версия. Уже давно пора обновить клиентское программное обеспечение и перейти на более безопасные технологии. Зацикливание на старых программах приносит только убытки;

□ 

ListenAddress
— определяет адреса для прослушивания подключения.
У вашего сервера может быть несколько сетевых карт. По умолчанию идет прослушивание всех интерфейсов. Вы должны указать только те, с которых вы будете подключаться по SSH. Например, очень часто одна сетевая карта смотрит во внутреннюю сеть, а другая — в Интернет. Если вы будете подключаться по SSH-протоколу только из внутренней сети, то следует прослушивать только этот адрес (задается в формате
адрес:порт
). Разрешается описывать несколько таких записей, чтобы указать требуемые интерфейсы;

□ 

HostKey
— указывается путь к файлам, содержащим ключи шифрования. Нужно прописывать только закрытые ключи, которые использует сервер для расшифровки пакетов;

□ 

KeyRegenerationInterval
— в версии 1 во время сессии могут регенерироваться ключи. Это позволяет сделать невозможным раскрытие пакетов за счет смены ключей, которые по умолчанию меняются каждые 3600 секунд. Если установить 0, то регенерации не будет. Так как мы отказались от 1 версии протокола (см. параметр
protocol
), то этот атрибут не влияет на работу;

□ 

ServerKeyBits
— длина серверного ключа. По умолчанию установлено 768, минимальное значение — 512;

□ 

SyslogFacility
— задает тип сообщений, которые будут сохраняться в журнале;

□ 

LogLevel
— уровень событий, которые будут попадать в журнал. Возможные уровни соответствуют системным, которые мы будем рассматривать в разд. 12.5;

□ 

LoginGraceTime
интервал времени, в течение которого пользователь должен ввести правильный пароль, иначе соединение будет разорвано;

□ 

РеrmitRootLogin
— определяет, разрешено (
yes
) или запрещено (
no
) входить в систему по SSH-протоколу под пользователем root. Мы уже говорили, что root — это бог в системе, и его возможности нужно использовать аккуратно. Если в систему нельзя входить с такими правами, то и по SSH тем более. Срочно меняйте этот параметр на
no
;

□ 

StrictModes
— указывает, должен ли sshd проверять состояние файлов и их владельцев, пользовательских файлов и домашней директории до ввода пароля. Желательно установить
yes
, потому что многие начинающие пользователи делают свои файлы все доступными для записи;

□ 

RSAAuthentication
— разрешена ли аутентификация по алгоритму RSA. Параметр действует для 1 версии протокола;

□ 

PubkeyAuthentication
— дозволена ли аутентификация по публичному ключу. Параметр действует для 2-й версии
протокола;

□ 

AuthorizedKeysFile
— файл с публичным ключом, который может использоваться для аутентификации;

□ 

RhostsAuthentication
— разрешение аутентификации по файлам $HOME/.rhosts и /etc/hosts.equiv. По умолчанию стоит
no
, и без особой надобности менять этот параметр не стоит, потому что это небезопасно;

□ 

IgnoreRhosts
— если параметр равен yes, то запрещается читать файлы ~/.rhosts и ~/.shosts. Без необходимости значение лучше не изменять, потому что это может повлиять на безопасность;

□ 

AuthorizedKeysFile
— файл для хранения списка авторизованных ключей. Если пользователь входит в систему с имеющимся в этом файле ключом, то его пустят автоматически без ввода дополнительных паролей;

□ 

RhostsRSAAuthentication
— если этот параметр
yes
, то при аутентификации будет требоваться ключ хоста из директории /etc/ssh/ssh_known_hosts. Параметр используется в 1 версии SSH;

□ 

IgnoreUserKnownHosts
— если параметр равен no, то необходимо доверять компьютерам из списка ~/.ssh/known_hosts при RhostsRSAAuthentication-аутентификации. Не верьте никому, поэтому параметр лучше всего изменить на
yes
;

□ 

PasswordAuthentication
— если значение равно
yes
, то будет требоваться пароль. При использовании авторизации через ключи параметр можно отключить;

□ 

PermitEmptyPasswords
— по умолчанию установлено
no
, что запрещает использование пустых паролей, и изменять это значение не стоит;

□ 

KerberosAuthentication
— использовать проверку подлинности по протоколу Kerberos. В последнее время именно эта аутентификация набирает большую популярность благодаря своей безопасности;

□ 

KerberosOrLocalPasswd
— если пароль Kerberos не был принят, то включается проверка локального файла паролей из файла /etc/shadow;

□ 

KerberosTicketCleanup
— очищать билет Kerberos из кэша при выходе из системы;

□ 

Banner
— позволяет указать файл, в котором находится текст приветствия, отображаемый пользователями.

5.3.3. Параметры доступа к серверу sshd

Кроме приведенных в листинге 5.1 можно использовать следующие директивы:

□ 

AllowGroups
— позволить вход в систему только пользователям указанных групп (перечисляются через пробел в одной строке);

□ 

AllowUsers
— разрешить вход в систему пользователям, имена которых перечислены через пробел;

□ 

DenyGroups
— запретить вход в систему пользователям указанных через пробел групп;

Поделиться:
Популярные книги

Искатель 10

Шиленко Сергей
10. Валинор
Фантастика:
рпг
фэнтези
попаданцы
гаремник
5.00
рейтинг книги
Искатель 10

Последний Паладин. Том 3

Саваровский Роман
3. Путь Паладина
Фантастика:
юмористическое фэнтези
попаданцы
аниме
5.00
рейтинг книги
Последний Паладин. Том 3

Анти-Ксенонская Инициатива

Вайс Александр
7. Фронтир
Фантастика:
боевая фантастика
космическая фантастика
космоопера
5.00
рейтинг книги
Анти-Ксенонская Инициатива

Первый среди равных. Книга VII

Бор Жорж
7. Первый среди Равных
Фантастика:
попаданцы
аниме
фэнтези
фантастика: прочее
5.00
рейтинг книги
Первый среди равных. Книга VII

Бастард Императора

Орлов Андрей Юрьевич
1. Бастард Императора
Фантастика:
фэнтези
аниме
5.00
рейтинг книги
Бастард Императора

Отвергнутая невеста генерала драконов

Лунёва Мария
5. Генералы драконов
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Отвергнутая невеста генерала драконов

Гранит науки. Том 1

Зот Бакалавр
1. Героями не становятся, ими умирают
Фантастика:
фэнтези
боевая фантастика
5.25
рейтинг книги
Гранит науки. Том 1

Локки 4 Потомок бога

Решетов Евгений Валерьевич
4. Локки
Фантастика:
аниме
фэнтези
5.00
рейтинг книги
Локки 4 Потомок бога

Страж Кодекса. Книга VI

Романов Илья Николаевич
6. КО: Страж Кодекса
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Страж Кодекса. Книга VI

Травница Его Драконейшества

Рель Кейлет
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Травница Его Драконейшества

"Дальние горизонты. Дух". Компиляция. Книги 1-25

Усманов Хайдарали
Собрание сочинений
Фантастика:
фэнтези
боевая фантастика
попаданцы
5.00
рейтинг книги
Дальние горизонты. Дух. Компиляция. Книги 1-25

Ну привет, заучка...

Зайцева Мария
Любовные романы:
эро литература
короткие любовные романы
8.30
рейтинг книги
Ну привет, заучка...

Черный Маг Императора 19

Герда Александр
19. Черный маг императора
Фантастика:
аниме
фэнтези
попаданцы
5.00
рейтинг книги
Черный Маг Императора 19

Личный аптекарь императора

Карелин Сергей Витальевич
1. Личный аптекарь императора
Фантастика:
городское фэнтези
попаданцы
аниме
фэнтези
5.00
рейтинг книги
Личный аптекарь императора