私のsshdを安全に設定する（自動化を介して）

Question

注文する

/etc/ssh/sshd_not_to_be_runopenssh-serverがインストールされていない場合は、空のファイルが生成されます。（この条件を作成するためのいくつかのオプションここ)
openssh - サーバーのインストール
/etc/ssh/sshd_config必要に応じて編集
削除する/etc/ssh/sshd_not_to_be_run
走る
```
systemctl enable ssh
systemctl systemctl restart ssh
```
または完全にテストされた同等の製品です。 restartサービスがまだ開始されていない場合は正常に動作しているようです（比較~~condrestart~~ try-restart）。systemctl enable --nowサービスが有効になっているが実行されていない場合、サービスは開始されないことがわかりました。

未使用オプション

これは私が見つけて使用しないことを決めた別のオプションです。

この問題は以下で議論された。Debian ユーザー。残念ながら、競争条件はまだ解決されていません。 Debian 管理者は、パッケージからコールをpolicy-rc.dブロックするように設定することをお勧めします。かさばるものもあります。invoke-rc.d ssh startpostinstall詳細詳細は厄介ですが達成可能です。残念ながらそうではありません。競合状態を防ぎません。パッケージが実行するコマンドとは何の関係もありませんpolicy-rc.d。update-rc.d ssh enableこれは、間違った時間に停電やシステムのクラッシュが発生する可能性があります。
openssh-server梱包に記載されている推奨事項を必ず参照してくださいufw:) Ubuntuはufw非常に簡単なファイアウォールで作られています。「ユーザーストーリー」とは少し混乱しています。最初はWindowsと同様に、信頼できるネットワークの概念をサポートするためにUbuntu Oneiricで書かれています。

これをインストールしufwてそれを設定するまで、SSHをブロックするように乱用する可能性があります。もちろん、これはufw現在ネットワークを信頼できると見なす構成がないと仮定します。へへ。

このオプションが好きではないには2つの異なる理由があります。私はシーケンスを別のansible文字で書いてきました。まず、このオプションは、SSHの役割がファイアウォール構成を妨げることを意味します。ホストにもファイアウォールは必要ありません。（またはこれらのシーケンスを徐々に作成する場合は、簡単な自動化のためにufwなどのコマンドでさえもない既存のファイアウォールがあるかもしれません。）

2番目の欠点は、Ansibleの役割が冪等性を持つように設計されていることです。 Ansible ロールを更新し、単一のコマンドを実行してそれを適用できます。実際にシステムを変更するタスクと一致するタスクを強調表示します。構成が変更されているか（すでに一致していない）かによってサービスを再起動できます。ファイアウォール構成を無条件にオン/オフするモデルには適合しません。 openssh-serverがまだインストールされていない場合は、これを条件付きで設定できますが、これはドキュメントの例で見られる一般的なイディオムの1つではありません。適用するにはansible 2.2が必要check_mode: yesです。service name=sshdpkg関連スクリプト。
編集：あなたはできます~~シンボリックリンクの生成~~マスクをssh.serviceインストールする前にパッケージをインストールしてください。 systemdを使用すると仮定しても大丈夫です。しかし、それを自動化することは少し面倒かもしれません。パッケージのインストール時にエラーが返され、インストールされたパッケージはそのまま残りますが、「構成されていません」状態のようです。構成を変更した後、パッケージを「再構成」することは難しくありません。面倒なことに、パッケージのインストール中にエラーを無視する必要があります。他のエラーが発生した場合、続行するリスクがあります。これは特に適切な自動化の問題ですが、手動チェックリストに従う場合にも迷惑なことがあります。。
sshd_config事前に作ってみてください。これをテストしましたが、適用されませんでした。問題：梱包がsshd_configありません。（Fedoraでもこれを試しました。警告メッセージが表示され、sshd_config.rpmnewが生成されます）
@Ipor-Sircerにリンクされている答えの1つは、Debianを使用できると言いますdpkg-divert。オプション1を組み合わせて転送できます。今、私たちは2つの一時スクリプトを書いています...debootstrapstart-stop-daemonupdate-rc.d
邪魔にならないので、転送にこれを試すことができます/etc/sshd_config。これにより、圧縮された構成ファイルをスキャン用に保存でき、明示的に上書きするのを防ぐことでより強力になります。残念ながら、ファイルはインストール後にスクリプトによって動的に生成されるため、dpkg-divert影響を与えないことがわかりました。sshd_configこれは、オプション5に警告がないことを説明できます。

最後の部分は、パッケージを指している誰かが私に説明しました。ソースコード。それからsshd_not_to_be_runpostrmスクリプトで参照を見つけました。

Answer 1

注文する

/etc/ssh/sshd_not_to_be_runopenssh-serverがインストールされていない場合は、空のファイルが生成されます。（この条件を作成するためのいくつかのオプションここ)
openssh - サーバーのインストール
/etc/ssh/sshd_config必要に応じて編集
削除する/etc/ssh/sshd_not_to_be_run
走る
```
systemctl enable ssh
systemctl systemctl restart ssh
```
または完全にテストされた同等の製品です。 restartサービスがまだ開始されていない場合は正常に動作しているようです（比較~~condrestart~~ try-restart）。systemctl enable --nowサービスが有効になっているが実行されていない場合、サービスは開始されないことがわかりました。

未使用オプション

これは私が見つけて使用しないことを決めた別のオプションです。

この問題は以下で議論された。Debian ユーザー。残念ながら、競争条件はまだ解決されていません。 Debian 管理者は、パッケージからコールをpolicy-rc.dブロックするように設定することをお勧めします。かさばるものもあります。invoke-rc.d ssh startpostinstall詳細詳細は厄介ですが達成可能です。残念ながらそうではありません。競合状態を防ぎません。パッケージが実行するコマンドとは何の関係もありませんpolicy-rc.d。update-rc.d ssh enableこれは、間違った時間に停電やシステムのクラッシュが発生する可能性があります。
openssh-server梱包に記載されている推奨事項を必ず参照してくださいufw:) Ubuntuはufw非常に簡単なファイアウォールで作られています。「ユーザーストーリー」とは少し混乱しています。最初はWindowsと同様に、信頼できるネットワークの概念をサポートするためにUbuntu Oneiricで書かれています。

これをインストールしufwてそれを設定するまで、SSHをブロックするように乱用する可能性があります。もちろん、これはufw現在ネットワークを信頼できると見なす構成がないと仮定します。へへ。

このオプションが好きではないには2つの異なる理由があります。私はシーケンスを別のansible文字で書いてきました。まず、このオプションは、SSHの役割がファイアウォール構成を妨げることを意味します。ホストにもファイアウォールは必要ありません。（またはこれらのシーケンスを徐々に作成する場合は、簡単な自動化のためにufwなどのコマンドでさえもない既存のファイアウォールがあるかもしれません。）

2番目の欠点は、Ansibleの役割が冪等性を持つように設計されていることです。 Ansible ロールを更新し、単一のコマンドを実行してそれを適用できます。実際にシステムを変更するタスクと一致するタスクを強調表示します。構成が変更されているか（すでに一致していない）かによってサービスを再起動できます。ファイアウォール構成を無条件にオン/オフするモデルには適合しません。 openssh-serverがまだインストールされていない場合は、これを条件付きで設定できますが、これはドキュメントの例で見られる一般的なイディオムの1つではありません。適用するにはansible 2.2が必要check_mode: yesです。service name=sshdpkg関連スクリプト。
編集：あなたはできます~~シンボリックリンクの生成~~マスクをssh.serviceインストールする前にパッケージをインストールしてください。 systemdを使用すると仮定しても大丈夫です。しかし、それを自動化することは少し面倒かもしれません。パッケージのインストール時にエラーが返され、インストールされたパッケージはそのまま残りますが、「構成されていません」状態のようです。構成を変更した後、パッケージを「再構成」することは難しくありません。面倒なことに、パッケージのインストール中にエラーを無視する必要があります。他のエラーが発生した場合、続行するリスクがあります。これは特に適切な自動化の問題ですが、手動チェックリストに従う場合にも迷惑なことがあります。。
sshd_config事前に作ってみてください。これをテストしましたが、適用されませんでした。問題：梱包がsshd_configありません。（Fedoraでもこれを試しました。警告メッセージが表示され、sshd_config.rpmnewが生成されます）
@Ipor-Sircerにリンクされている答えの1つは、Debianを使用できると言いますdpkg-divert。オプション1を組み合わせて転送できます。今、私たちは2つの一時スクリプトを書いています...debootstrapstart-stop-daemonupdate-rc.d
邪魔にならないので、転送にこれを試すことができます/etc/sshd_config。これにより、圧縮された構成ファイルをスキャン用に保存でき、明示的に上書きするのを防ぐことでより強力になります。残念ながら、ファイルはインストール後にスクリプトによって動的に生成されるため、dpkg-divert影響を与えないことがわかりました。sshd_configこれは、オプション5に警告がないことを説明できます。

最後の部分は、パッケージを指している誰かが私に説明しました。ソースコード。それからsshd_not_to_be_runpostrmスクリプトで参照を見つけました。

私のsshdを安全に設定する（自動化を介して）

ベストアンサー1

注文する

未使用オプション

おすすめ記事