Retningslinjer for sikker bruk av SSH

SSH er kryptert, men det er mulig ? benytte SSH p? en uheldig og usikker m?te. F?lg derfor disse retningslinjene.

Slik setter du opp SSH hjemmefra.

Maskiner du kan kj?re SSH mot fra utenfor UiO

  • login.uio.no (?pen for alle)
  • login.ifi.uio.no (?pen for ansatte og studenter ved IfI)

Prinsipper

  • Hovedprinsippet er at passord er definert som sensitiv informasjon og aldri skal sendes ukryptert over nett.
  • Med ?lukket nett? s? menes det i denne sammenheng nett som er helt avsk?ret fra andre nett, eller som er nedl?st med aksesslister p? en slik m?te at misbruk er sv?rt usannsynlig.

1. Bruk av n?kkelbasert p?logging for SSH, SCP og SFTP

SSH, SCP og SFTP lar deg benytte n?kkelpar i stedet for passord ved p?logging. For at dette skal gj?res sikkert s? m? noen hensyn tas.

  • Benytt alltid passord p? private n?kler
  • Benytt ?ssh agent forwarding? kun til maskiner der du stoler p? de som er ?root?
  • Ikke bland n?kler til privat- og jobb-bruk
  • N?kler skal aldri brukes til ? logge p? kontoer med h?yere privilegier - f. eks. fra vanlig bruker til root.
  • Benytt ?from=? i authorized_keys der det er mulig. Slik p?ser man at gjeldende n?kkel kun virker fra en gitt maskin.
  • Husk at hjemmeomr?der ofte ligger p? NFS, og i praksis s? kan alle som kan skrive til ditt hjemmeomr?de endre dine n?kler.
  • Ved bruk av ssh-agent s? skal ikke n?kkelen leve mer enn 24 timer. ssh-agent b?r t?mmes for n?kler n?r du g?r for dagen.

2. Bruk av ?X11 forwarding? og ?TCP forwarding?

SSH lar deg kj?re ?TCP-forwarding? (og X11-forwarding) slik at SSH i praksis blir en tunnel mellom to maskiner. Dette gj?r at det kan benyttes til ? bryte sikkerhetsbarrierer.

  • Vurdér om X11-forwarding skal v?re skrudd p? som standard. Slik forwarding kan settes opp pr. maskin via .ssh/config eller for en gitt sessjon med ?-X?
  • TCP forwarding skal ikke benyttes p? en slik m?te at det svekker sikkerheten, eller eksponerer interne tjenester for andre maskiner enn de du har kontroll over
  • TCP forwarding skal ikke benyttes med ?-g? opsjon for ? eksponere interne tjenester til andre enn 127.0.0.1
  • X11 forwarding som root skal kun benyttes hvis det ikke finnes annen utvei, f. eks. der det kreves av grafisk installasjonsprogram eller lignende.
  • TUN device ?-W? skal ikke benyttes uten spesiell avtale

 

    Publisert 18. mars 2019 13:53 - Sist endret 25. aug. 2021 12:36