Dark-Defender
Kıdemli Üye
Public Key Authentication
Kullanıcılar Public ve Private olarak ifade edilen iki farklı dosya üretirler. Public keyin çözümlenebilmesi için Private Keye sahip olunması ve passphrasein bilinmesi gerekmektedir. SSH servisi Public Key Authenticationa imkan tanımaktadır.
Her kullanıcının privaye keyi home folderının altındaki .ssh dosyasında bulunmalıdır. Private keyin hangi isimde bulunacağı ise linux dağıtımlarına göre değişmektedir. Bu ismi öğrenmek için aşağıdaki komut çalıştırılabilir.
Her kullanıcının privaye keyi home folderının altındaki .ssh dosyasında bulunmalıdır. Private keyin hangi isimde bulunacağı ise linux dağıtımlarına göre değişmektedir. Bu ismi öğrenmek için aşağıdaki komut çalıştırılabilir.
Kod:
mince@rootlab ~ $ cat /etc/ssh/ssh_config |grep 'IdentityFile'
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsaKey oluşturmak için aşağıdaki komut kullanılmaktadır.
Kod:
ssh-keygen -t rsa -C "[email protected]"
# Creates a new ssh key, using the provided email as a label
# Generating public/private rsa key pair.
# Enter file in which to save the key (/home/you/.ssh/id_rsa):Bağlantının gerçekleştirileceği sunucuda bir adet normal kullanıcı oluşturulmalı ve ardından bu kullanıcı wheel grubuna dahil edilmelidir.
Bu işlemler için öncelikle /etc/sudoers dosyası düzenlenmelidir. visudo komutu ile sudoers dosyası ön tanımlı metin editörü ile açılır. Aşağıdaki satırın başındaki diyez kaldırılmalıdır.
Bu işlemler için öncelikle /etc/sudoers dosyası düzenlenmelidir. visudo komutu ile sudoers dosyası ön tanımlı metin editörü ile açılır. Aşağıdaki satırın başındaki diyez kaldırılmalıdır.
Kod:
%wheel ALL=(ALL) ALLSudoers dosyası düzenlenip kayıt edildikten sonra linux kullanıcısı wheel grubuna dahil edilmelidir.
Kod:
gpasswd -a mehmet wheelArdından oluşturulan id_rsa.pub dosyası yönetilecek sunucuda ki mehmet kullanıcısının home folderına yerleştirilir. Dosya transferi scp komutu ile yapılabilir.
Kod:
scp ~/.ssh/id_rsa.pub [email protected]:/home/mehmet/.ssh/[public key ismi]Root Kullanıcısına Sınırlama ve Şifre ile Giriş Yasaklaması
Saldırgan SSH servisine kaba kuvvet saldırısı yapabilmek için öncelikle hedef sistemde tanımlı kullanıcı hesabını bilmelidirler. Her linux sistemde en yetkili kullanıcı root kullanıcısıdır. Saldırganlar deneme yanılma saldırılarında root kullanıcısı için şifre denemeleri yapacaktır. Bu nedenle root kullanıcısı için uzaktan gelen bağlantılar kabul edilmemelidir.
Password Authentication iptal edilmelidir. Bu sayede herhangi bir kullanıcının linux şifresi saldırganlar tarafından ele geçirilse bile ssh bağlantısı kabul edilmeyecektir.
/etc/ssh/sshd_config dosyası metin editörü ile açılarak aşağıdaki iki satır tanımlaması yapılmalıdır.
Password Authentication iptal edilmelidir. Bu sayede herhangi bir kullanıcının linux şifresi saldırganlar tarafından ele geçirilse bile ssh bağlantısı kabul edilmeyecektir.
/etc/ssh/sshd_config dosyası metin editörü ile açılarak aşağıdaki iki satır tanımlaması yapılmalıdır.
Kod:
PasswordAuthentication no
PermitRootLogin nossh servisi yeniden başlatılarak yeni ayarlar devreye alınacaktır.
SSH Portunun Değiştirilmesi
SSH servisinin çalıştığı portu değiştirilebilir. Bu işlem sayesinde standart taramalarda ssh servisi tespit edilemeyecektir. Bu noktada önemli olan şey, üniversite networkleri gibi kural tanımlamalarına göre erişimlerin sağlandığı yapılarda genellikle reserved portların haricinde ki portlara erişim engellidir. Bu durumda 1024ten büyük bir portta servis çalıştırıldığında bazı networkler için erişilemez olacaktır..
NOT: sshd_config dosyasında düzenleme yapılmadan önce yedeği alınmalıdır. Yanlış bir tanımlama yapılırsa linux sunucusuna ssh erişimi sorunu yaşanacaktır. Bu durumda yedek konfigürasyon dosyası devreye alınabilir.
NOT: sshd_config dosyasında düzenleme yapılmadan önce yedeği alınmalıdır. Yanlış bir tanımlama yapılırsa linux sunucusuna ssh erişimi sorunu yaşanacaktır. Bu durumda yedek konfigürasyon dosyası devreye alınabilir.