Linux глазами хакера
вернуться

Флёнов Михаил Евгеньевич
Шрифт:

□ 

IgnoreRhosts
— если параметр равен yes, то запрещается читать файлы ~/.rhosts и ~/.shosts. Без необходимости значение лучше не изменять, потому что это может повлиять на безопасность;

□ 

AuthorizedKeysFile
— файл для хранения списка авторизованных ключей. Если пользователь входит в систему с имеющимся в этом файле ключом, то его пустят автоматически без ввода дополнительных паролей;

□ 

RhostsRSAAuthentication
если этот параметр
yes
, то при аутентификации будет требоваться ключ хоста из директории /etc/ssh/ssh_known_hosts. Параметр используется в 1 версии SSH;

□ 

IgnoreUserKnownHosts
— если параметр равен no, то необходимо доверять компьютерам из списка ~/.ssh/known_hosts при RhostsRSAAuthentication-аутентификации. Не верьте никому, поэтому параметр лучше всего изменить на
yes
;

□ 

PasswordAuthentication
— если значение равно
yes
, то будет требоваться пароль. При использовании авторизации через ключи параметр можно отключить;

□ 

PermitEmptyPasswords
— по умолчанию установлено
no
, что запрещает использование пустых паролей, и изменять это значение не стоит;

□ 

KerberosAuthentication
— использовать проверку подлинности по протоколу Kerberos. В последнее время именно эта аутентификация набирает большую популярность благодаря своей безопасности;

□ 

KerberosOrLocalPasswd
— если пароль Kerberos не был принят, то включается проверка локального файла паролей из файла /etc/shadow;

□ 

KerberosTicketCleanup
— очищать билет Kerberos из кэша при выходе из системы;

□ 

Banner
— позволяет указать файл, в котором находится текст приветствия, отображаемый пользователями.

5.3.3. Параметры доступа к серверу sshd

Кроме приведенных в листинге 5.1 можно использовать следующие директивы:

□ 

AllowGroups
— позволить вход в систему только пользователям указанных групп (перечисляются через пробел в одной строке);

□ 

AllowUsers
— разрешить вход в систему пользователям, имена которых перечислены через пробел;

□ 

DenyGroups
— запретить вход в систему пользователям указанных через пробел групп;

□ 

DenyUsers
— запретить вход в систему пользователям, имена которых перечислены через пробел. Этот параметр бывает удобен, когда дано разрешение на вход группе, но нужно отказать в подключении к SSH-серверу одному из ее пользователей.

Я рекомендую вам явно прописать группы или имена пользователей, которые могут входить в систему по SSH.

5.3.4. Конфигурирование клиента SSH

Настройки SSH-клиента содержат еще меньше параметров. В файле /etc/ssh/ssh_config находятся глобальные настройки для всех пользователей в системе. Но вы можете для любого из них переопределить произвольный параметр в файле .ssh_config из директории пользователя. В листинге 5.2 приведено содержимое глобального файла настроек без некоторых комментариев.

Листинг 5.2. Конфигурационный файл /etc/ssh/ssh_config

# Site-wide defaults for various options

# Host *

# ForwardAgent no

# ForwardX11 no

# RhostsAuthentication yes

# RhostsRSAAuthentication yes

# RSAAuthentication yes

# PasswordAuthentication yes

# FallBackToRsh no

# UseRsh no

# BatchMode no

# CheckHostIP yes

# StrictHostKeyChecking ask

# IdentityFile ~/.ssh/identity

# IdentityFile ~/.ssh/id_rsa

# IdentityFile ~/.ssh/id_dsa

# Port 22

# Protocol 2,1

# Cipher 3des

# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

# EscapeChar ~

Host *

Protocol 1,2

Некоторые из этих параметров мы уже видели при рассмотрении серверного конфигурационного файла. Здесь также присутствует параметр

Protocol
, в котором указываются используемые версии SSH. Только в данном случае не стоит запрещать 1 версию. На безопасность клиента это не повлияет. Зато не будет проблем при подключении к серверу, который работает только на такой версии. Я надеюсь, что это будет не ваш сервер ☺.

Перечислю характерные для клиента команды: