̽»¨¾«Ñ¡

Retningslinjer for sikker bruk av SSH

SSH er kryptert, men det er mulig Ã¥ benytte SSH pÃ¥ en uheldig og usikker mÃ¥te. Følg derfor disse retningslinjene.

Slik setter du opp SSH hjemmefra.

Maskiner du kan kjøre SSH mot fra utenfor UiO

  • login.uio.no (Ã¥pen for alle)
  • login.ifi.uio.no (Ã¥pen for ansatte og studenter ved IfI)

Prinsipper

  • Hovedprinsippet er at passord er definert som sensitiv informasjon og aldri skal sendes ukryptert over nett.
  • Med «lukket nett» sÃ¥ menes det i denne sammenheng nett som er helt avskÃ¥ret fra andre nett, eller som er nedlÃ¥st med aksesslister pÃ¥ en slik mÃ¥te at misbruk er svært usannsynlig.

1. Bruk av nøkkelbasert pålogging for SSH, SCP og SFTP

SSH, SCP og SFTP lar deg benytte nøkkelpar i stedet for passord ved pålogging. For at dette skal gjøres sikkert så må noen hensyn tas.

  • Benytt alltid passord pÃ¥ private nøkler
  • Benytt «ssh agent forwarding» kun til maskiner der du stoler pÃ¥ de som er «root»
  • Ikke bland nøkler til privat- og jobb-bruk
  • Nøkler skal aldri brukes til Ã¥ logge pÃ¥ kontoer med høyere privilegier - f. eks. fra vanlig bruker til root.
  • Benytt «from=» i authorized_keys der det er mulig. Slik pÃ¥ser man at gjeldende nøkkel kun virker fra en gitt maskin.
  • Husk at hjemmeomrÃ¥der ofte ligger pÃ¥ NFS, og i praksis sÃ¥ kan alle som kan skrive til ditt hjemmeomrÃ¥de endre dine nøkler.
  • Ved bruk av ssh-agent sÃ¥ skal ikke nøkkelen leve mer enn 24 timer. ssh-agent bør tømmes for nøkler nÃ¥r du gÃ¥r for dagen.

2. Bruk av «X11 forwarding» og «TCP forwarding»

SSH lar deg kjøre «TCP-forwarding» (og X11-forwarding) slik at SSH i praksis blir en tunnel mellom to maskiner. Dette gjør at det kan benyttes til å bryte sikkerhetsbarrierer.

  • Vurdér om X11-forwarding skal være skrudd pÃ¥ som standard. Slik forwarding kan settes opp pr. maskin via .ssh/config eller for en gitt sessjon med «-X»
  • TCP forwarding skal ikke benyttes pÃ¥ en slik mÃ¥te at det svekker sikkerheten, eller eksponerer interne tjenester for andre maskiner enn de du har kontroll over
  • TCP forwarding skal ikke benyttes med «-g» opsjon for Ã¥ eksponere interne tjenester til andre enn 127.0.0.1
  • X11 forwarding som root skal kun benyttes hvis det ikke finnes annen utvei, f. eks. der det kreves av grafisk installasjonsprogram eller lignende.
  • TUN device «-W» skal ikke benyttes uten spesiell avtale

 

    Publisert 18. mars 2019 13:53 - Sist endret 25. aug. 2021 12:36
    Del på e-post