Как обезопасить информацию к подключаемым системам

Posted by

Когда кто-то подключается к серверам посредством SSH, то он в свою очередь получает ключ идентификации удаленного сервера. Этот ключ на клиентской машине (в рамках этой заметки все действия выполняются на .5 Desktop amd64 моего ноутбука HP dv6-3080er) записывается в файл known_hosts пользовательского каталога:

keiz@dv6:~$ ls .ssh/known_hosts

В моем случае в данном файле содержаться записи о системах к которым я имел когда либо возможность удаленно подключаться:

keiz@dv6:~$ cat .ssh/known_hosts

|1|DvJ826cmcIxD9a9n4aIWk3O6r2E=|nYlmCyay44KH9mfN9FAHUiroKHY= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvW2yKY/wqhioFf4NBrGAEGndgGlMgM6Vdr

oydJMTrE9SW3FddmfHaMNtli515loowXrus4qlDZXnQEYifYwwDWP5hWGDk2vVFb

LEl8n0MT0v15sLhPMKKL76d/iJ5b3JVo6xj0YHqT1Gp9bUQ+wJS+xpAkfp8S8K3G16

WOEj+nXqG4pYWu8b53ijI3/j2E2pES0CcMPa058lje+xYBSpVs1jLhsCml5MoRXXbHir

HmwN/kcGPQjk2zW9UrO3H+lCQOUqcJc/rsrzumGDij5lQrldDdqdwVcuWAi9B/33ghozpVlXJHVxB8eX/w69rXrZgA/ii9plH774cEYEiKf6IQ==

|1|EQzGqnaR+wTygPRUnvyb/JfyYfE=|9awlB+OqwqiMs16lv+/220daMG4= ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPTV0mvstl

Rb8kHC35dRVrYlR+Rp1+2CivsLMYPBFKRG1g468m5CBIc2NS7qMy1QBA7yRT

82J8M6gEvtcBA1NX8=

, где первое поле до появления (ssh-rsa и ecdsa-sha2-nistp256) есть своего рода зашифрованное именование удаленной системы.

Чтобы у Вас содержимое данного файла было так закодировано, как у меня, т.е. чтобы никто не мог определить системы к которым Вы имели место быть подключенными, можно закодировать содержимое known_hosts, делается это следующим образом.

keiz@dv6:~$ sudo nano /etc/ssh/ssh_config

HashKnownHosts yes

Сохраняем внесенные изменения.

Теперь если кто-либо получит доступ к Вашей системе (надеюсь такого не случится), он не сможет извлечь из полученного файла что-либо интересного для проведения скажем угадывания удаленных систем которые с Вами связаны. Также в дополнение к этой опции хочу порекомендовать Вам следующие действия по скрытию информации об действиях производимых на системе:

Не вести историю команд:

keiz@dv6:~$ ln -sf /dev/null ~/.bash_history

Не хранить историю отпечатков удаленных систем:
keiz@dv6:~$ ln -sf /dev/null ~/.ssh/known_hosts

Не использовать файл отпечатков known_hosts при подключении к удаленным системам:

keiz@dv6:~$ ssh -o 'StrictHostKeyChecking no' user@remoteрhostname

Вот такими встроенными в систему Ubuntu (да и не только) можно здорово затруднить прохождение с Вашей системы на другие главное знать свою систему, а уж как обезопасить ее теперь Вы знаете благодаря этой заметке. Конечно я не претендую на универсальность и полных охват действий которыми можно обезопасить Вашу систему, но лучше сделать маленький шажок некоторыми действия – это будет хоть что-то. На этом считаю данную заметку завершенной, до встречи, с уважением автор блога – ekzorchik.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

четыре × четыре =