Блог о Gentoo и около-линуксовым штукам

23 июля 2009 г.

SSH — Руководство по конфигурации ssh в серверной инфраструктуре Gentoo.

13:44 Опубликовал Дмитрий Исаенко , Нет комментариев
Предлагаю Вам ещё один перевод. На этот раз статьи "SSH Configuration Guide for Gentoo Infrastructure Servers"
На самом деле я не знаю под какой лицензией опубликован оригинал, но тем не мение:
The contents of this document are licensed under the Creative Commons - Attribution / Share Alike license.


SSH — Руководство по конфигурации ssh в серверной инфраструктуре Gentoo.

1.Директивы для запуска ssh в инфраструктуре Gentoo linux.

Базовые директивы

SSH — в настоящее время единственный утверждённый метод получения улённого доступа коммандной оболочке на сервере: rsh, telnet и другие небезопасные мотоды недопустимы. При конфигурации ssh, следующие директивы должны соблюдаться:

Только SSHv2 — никогда не настраивайте SSH с исключительной поддержкой протокола SSH версии 1. У этой версии есть слабые стороны связанные с шифрованием данных.

DSA ключи — использование DSA ключей более предпочтительно, нежели использование RSA.

Запретить root-доступ - удалённый доступ от имени администратора не стоит допускать. Пользователи должны заходить используя их ID, и только после этого использовать команды su\sudo.

Аутентификация без использования паролей — если это возможно, пользователям необходимо использовать их DSA-ключи для входа на удалённую систему.

Замечание: все указанные выше значения по умолчанию настраиваются в /etc/ssh/sshd_config, и являются наиболее приемлемыми. Они не должны быть отменены без предварительного одобрения руководителя проекта инфраструктуры Gentoo.

Пример sshd_config

Далле приводится пример /etc/ssh/sshd_config файла, который используется для быстрой настройки SSH на новом сервере инфраструктуры Gentoo.

Листинг 1.1: /etc/ssh/sshd_config

Port 22
Protocol 2
ServerKeyBits 2048
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 60
PermitRootLogin no
RSAAuthentication no
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
PAMAuthenticationViaKbdInt no
Compression yes
KeepAlive yes
ClientAliveInterval 30
ClientAliveCountMax 4

Замечание: В примере, приведённом выше, аутентификация по паролю была отключена в пользу аутентификации по ключу.

Замечание: Когда системные ресурсы сервера ограничены(в частности утилизация CPU), компрессия, вероятно, должна быть отключена, чтобы предотвратить зацикливание процессора на отправке сжатого трафика подключённым клиентам.

0 коммент.:

Отправить комментарий