Protokol SSH ("Secure Shell") adalah kaedah untuk log masuk jauh selamat dari satu sistem ke yang lain. Sysadmins dan pengguna menggunakan saluran selamat ke atas rangkaian tidak selamat dalam format seni bina pelayan-klien untuk menyambungkan klien SSH dengan pelayan SSH. Keselamatan pelayan ssh adalah tugas penting. Terdapat alat yang dipanggil ssh_scan dari Mozilla yang bertindak sebagai prototaip SSH konfigurasi dan pengimbas dasar untuk SSHD anda.
Faedah ssh_scan
Dari halaman utama projek:
- Kebergantungan yang Minimal - Menggunakan Ruby dan BinData asli untuk melakukan kerja, tidak ada kebergantungan berat.
- Bukan Hanya Skrip - Pelaksanaan mudah alih untuk digunakan dalam projek lain atau untuk mengotomatisasi tugas.
- Sederhana - Cukup tunjuk ssh_scan pada perkhidmatan SSH dan dapatkan laporan JSON mengenai apa yang ia menyokong dan status dasarnya.
- Dikonfigurasikan - Buat dasar tersuai anda sendiri yang sesuai dengan keperluan dasar unik anda.
Pasang kebergantungan
Taipkan yang berikut perintah apt-get/perintah apt untuk memasang ruby dan gem pada Debian / Ubuntu Linux:
$ sudo apt-get install ruby gem
Keluaran sampel:
Pasang ssh_scan
Taipkan arahan berikut untuk memasang ssh_scan sebagai permata:
$ sudo gem install ssh_scan
Keluaran sampel:
Bagaimanakah saya menggunakan ssh_scan?
Sintaksnya ialah:
$ ssh_scan -t ip
$ ssh_scan -t server
$ ssh_scan -t server1.cyberciti.biz
Sebagai contoh imbasan pelayan ssh yang dipasang di 192.168.2.15, masukkan:
$ ssh_scan -t 192.168.2.15
Keluaran sampel:
I, [2017-04-25T16:12:11.019160 #32317] INFO -- : You're using the latest version of ssh_scan 0.0.19 [ { "ssh_scan_version": "0.0.19", "ip": "192.168.2.15", "port": 22, "server_banner": "SSH-2.0-OpenSSH_7.4p1 Ubuntu-10", "ssh_version": 2.0, "os": "ubuntu", "os_cpe": "o:canonical:ubuntu", "ssh_lib": "openssh", "ssh_lib_cpe": "a:openssh:openssh:7.4p1", "cookie": "82d7cc908765f03154b10d5cdf14195a", "key_algorithms": [ "curve25519-sha256", "[email protected]", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256", "diffie-hellman-group14-sha1" ], "server_host_key_algorithms": [ "ssh-rsa", "rsa-sha2-512", "rsa-sha2-256", "ecdsa-sha2-nistp256", "ssh-ed25519" ], "encryption_algorithms_client_to_server": [ "[email protected]", "aes128-ctr", "aes192-ctr", "aes256-ctr", "[email protected]", "[email protected]" ], "encryption_algorithms_server_to_client": [ "[email protected]", "aes128-ctr", "aes192-ctr", "aes256-ctr", "[email protected]", "[email protected]" ], "mac_algorithms_client_to_server": [ "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "hmac-sha2-256", "hmac-sha2-512", "hmac-sha1" ], "mac_algorithms_server_to_client": [ "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]", "hmac-sha2-256", "hmac-sha2-512", "hmac-sha1" ], "compression_algorithms_client_to_server": [ "none", "[email protected]" ], "compression_algorithms_server_to_client": [ "none", "[email protected]" ], "languages_client_to_server": [ ], "languages_server_to_client": [ ], "hostname": "m6700", "auth_methods": [ "publickey", "password" ], "fingerprints": { "rsa": { "known_bad": "false", "md5": "1d:14:84:f0:c7:21:10:0e:30:d9:f9:59:6b:c3:95:97", "sha1": "70:ac:7c:2c:94:54:aa:09:f2:58:f3:48:f0:9e:f2:a0:a2:37:f1:0a", "sha256": "6d:d8:20:c6:8e:e7:db:0d:94:9d:34:66:ba:b7:9c:68:8a:ea:79:19:a6:0d:76:cc:ec:fe:82:21:68:a5:64:74" } }, "start_time": "2017-04-25 16:12:11 +0000", "end_time": "2017-04-25 16:12:11 +0000", "scan_duration_seconds": 0.118730486, "duplicate_host_key_ips": [ ], "compliance": { "policy": "Mozilla Modern", "compliant": false, "recommendations": [ "Remove these Key Exchange Algos: curve25519-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256, diffie-hellman-group14-sha1", "Remove these MAC Algos: [email protected], [email protected], [email protected], hmac-sha1", "Remove these Authentication Methods: password" ], "references": [ "https://wiki.mozilla.org/Security/Guidelines/OpenSSH" ] } } ]
Untuk melihat semua pilihan lain, masukkan:
$ ssh_scan -h
Keluaran sampel:
ssh_scan v0.0.19 (https://github.com/mozilla/ssh_scan) Penggunaan: ssh_scan [options] -t, --target [IP / Range / Hostname] IP / Ranges / Nama Host untuk mengimbas -f, --file [FilePath] Fail Fail yang mengandungi IP / Range / Hostname untuk mengimbas -T, --outout [saat] Waktu tunggu setiap menyambung selepas ssh_scan menyerahkan pada host -L, --logger [Path Fail Log] Membolehkan logger -O, - -from_json [FilePath] Fail untuk membaca output JSON dari -o, --output [FilePath] Fail untuk menulis output JSON ke -p, --port [PORT] Port (Default: 22) -P, --policy [FILE] Fail dasar kustom (Default: Mozilla Modern) --threads [NUMBER] Bilangan thread pekerja (Default: 5) --fingerprint-db [FILE] Lokasi fail pangkalan data cap jari (Default: ./fingerprints.db) --suppress- status kemas kini Jangan semak pengemaskinian -u, --unit-test [FILE] Buang kod keluar yang sesuai berdasarkan status pematuhan -V [STD_LOGGING_LEVEL], --bososkopi -v, --versi Memaparkan hanya versi info -h, - -help Tunjukkan mesej ini Contoh: ssh_scan -t 192.168.1.1 ssh_scan -t server.e xample.com ssh_scan -t :: 1 ssh_scan -t :: 1 -T 5 ssh_scan -f hosts.txt ssh_scan -o output.json ssh_scan -O output.json -o rescan_output.json ssh_scan -t 192.168.1.1 -p 22222 ssh_scan - t 192.168.1.1 -p 22222 -L output.log -V INFO ssh_scan -t 192.168.1.1 -P custom_policy.yml ssh_scan -t 192.168.1.1 --unit-test -P custom_policy.yml
Bagaimanakah saya mengamankan dan mengoptimumkan pelayan OpenSSH saya?
- Amalan Terbaik Keselamatan OpenSSH
- Untuk menyediakan cadangan dasar dasar yang sihat bagi parameter konfigurasi SSH, lihat halaman ini