SSH Secure Shell
Gezegendeki her Linux kutusunun varsayılan olarak dinlediği şifreli uzak kabuk protokolü — ve gönderdiğimiz her VPS'nin ön kapısı.
Uzak bir makineyi konsolunda oturuyormuşsunuz gibi çalıştırmak için şifrelenmiş ağ protokolü: kabuk erişimi, dosya transferi (SCP, SFTP), rastgele TCP port yönlendirme ve SOCKS proxy. 1995'ten itibaren açık metin tabanlı telnet/rlogin/rsh üçlüsünün yerini aldı. Baskın modern uygulama, tüm büyük Linux ve BSD dağıtımları ile macOS tarafından gönderilen OpenSSH'dir.
SSH, VPS'inizin tüm kontrol düzlemidir.
Siz ve işletim sistemi arasında tescilli bir kontrol paneli yoktur — grafiksel "sunucu yöneticisi" yoktur, soyutlanmış dosya tarayıcısı yoktur, captive portal tarzı web kabuğu yoktur. Her NordBastion VPS, panel aracılığıyla iletilen tek bir root kimlik bilgisiyle, SSH için 22. portu dinleyen standart bir Linux makinesi olarak elinize ulaşır. SSH tüm kontrol düzleminin ta kendisidir, nokta.
Bu karar, ürünün geri kalanıyla aynı mantığa dayanır: SSH açık, kapsamlı biçimde denetlenmiş, hızlı ve Berlin'deki bir dizüstü bilgisayardan, Termius yüklü bir akıllı telefondan veya başka bir veri merkezindeki CI çalıştırıcısından aynı şekilde çalışır. Özel bir web paneli daha yavaş ve daha zayıf olurdu; üstelik OpenSSH projesinin bizden çok daha iyi yönettiği kodu korumamızı gerektirirdi.
İlk saat opsec tavsiyeleri NordBastion VPS'inde herhangi bir üretim Linux kutusundakiyle aynıdır: Ed25519 anahtarı oluşturun, genel yarısını sunucuya kopyalayın, gerekli değilse parola kimlik doğrulamasını ve root girişini devre dışı bırakın, fail2ban veya eşdeğerini kurun ve güvenlik duvarında kaynak IP'leri kısıtlamayı düşünün. Sertleştirme kılavuzu her komutu adım adım açıklar.
İnsanların gerçekten sorduğu sorular.
VPS'ime SSH üzerinden nasıl bağlanırım?
Bir terminalden: `ssh [email protected]`. İlk bağlantı host parmak izini doğrulamanızı ister — kabul etmeden önce müşteri panelinde gösterilen değerle karşılaştırın. Bundan sonra, anahtar tabanlı kimlik doğrulama önerilen kurulumdur: yerel olarak bir Ed25519 anahtar çifti oluşturun, genel yarısını VPS'teki ~/.ssh/authorized_keys dosyasına yapıştırın ve /etc/ssh/sshd_config dosyasında parola girişini devre dışı bırakın. İlk saat sertleştirme kılavuzu her adımı açıklar.
Parola kimlik doğrulaması güvenli midir?
Parola uzun ve rastgele ise yeterince güvenlidir, ancak anahtar tabanlı kimlik doğrulama anlamlı ölçüde daha iyidir. Güçlü bir anahtar, geçici tarayıcılar tarafından kaba kuvvetle kırılamaz (ve bunların her gün port 22'de her genel IP'yi tarayan çok sayıda örneği vardır); parola kimlik doğrulamasını tamamen devre dışı bırakmak ise loglarınızdaki kimlik bilgisi doldurma gürültüsünün tüm bir sınıfını ortadan kaldırır. Sertleştirme kılavuzu, varsayılan olarak yalnızca anahtar kimlik doğrulamasını önerir.
SSH port yönlendirmesi nedir?
Şifreli bir SSH bağlantısı üzerinden rastgele TCP trafiğini tünellemenin bir yolu. Yerel yönlendirme (`-L`), uzak bir hizmeti yerel bir bağlantı noktasında sunar; örneğin VPS'nin PostgreSQL'ini dizüstü bilgisayarınızın localhost:5432'sinde açmak gibi. Uzak yönlendirme (`-R`) bunun tersidir. Dinamik yönlendirme (`-D`), onu kullanacak şekilde yapılandırılmış herhangi bir uygulamayı VPS üzerinden yönlendiren bir SOCKS proxy kurar. Üçü de son derece kullanışlıdır ve öğrenmeye değerdir.
Varsayılan SSH portunu 22'den değiştirmeli miyim?
Büyük ölçüde kozmetiktir. SSH'yi yüksek rastgele bir porta taşımak, kayıtlarınızdaki anlık tarayıcı gürültüsünün hacmini azaltır ancak yalnızca ana bilgisayarı tarayacak hedefli bir saldırgana karşı hiçbir şey yapmaz. Gerçek savunmalar yalnızca anahtar ile kimlik doğrulama, fail2ban tarzı bir hız sınırlayıcı ve erişim düzeniniz izin veriyorsa güvenlik duvarı düzeyinde kaynak IP kısıtlamasıdır. Kılavuz her üçünü de kapsamlı biçimde ele almaktadır.