Come utente di cPanel, dovrai spesso gestire il tuo sito Web o i file dell'applicazione tramite SSH o FTP.
Ecco un modo per farlo in modo sicuro attraverso la funzione della chiave SSH fornita con cPanel in modo nativo.
La prima domanda probabilmente è:perché applicare l'autenticazione della chiave invece della normale autenticazione della password per queste attività?
Le password rimangono la forma di autenticazione online più utilizzata.
Ciò è dovuto principalmente al fatto che sono semplici ed economici da implementare sulla maggior parte delle infrastrutture.
Tuttavia, è generalmente riconosciuto che le password sono l'anello più debole e la forma di protezione più scarsa quando si tratta di sicurezza online.
E con l'evolversi della tecnologia, anche gli strumenti disponibili per hacker e intrusi malintenzionati per violare le tue credenziali online si evolvono guadagnando maggiore velocità e sofisticatezza.
Ad aggravare il problema c'è anche il fatto che spesso agli utenti viene data la possibilità di creare le proprie password quando creano nuove identità online.
Gli esseri umani non sono conosciuti come le creature della natura più pazienti e quindi spesso scelgono password facilmente indovinabili e hackerabili.
Questo è il motivo per cui ogni volta che c'è un dump di password, scoprirai spesso che le password più comunemente utilizzate sono "password", "1234", "date di nascita" o "pass".
La maggior parte delle persone riutilizzerà la stessa password anche per più siti.
Quindi, quando un sito è compromesso, lo è anche ogni altro sito Web su cui l'utente ha un account.
Come utente cPanel, cosa dovresti usare per l'autenticazione SFTP/SSH:chiavi o password SSH?
Ovviamente, la risposta sarà un SSH basato su chiavi.
Le chiavi SSH sono un modo eccellente per rimanere al sicuro, a condizione che vengano utilizzate le best practice per generarle, archiviarle, gestirle e rimuoverle.
Sebbene tu possa certamente utilizzare l'autenticazione della password per SSH, non protegge dalle password deboli anche quando vengono eseguite crittografate sulla rete.
Se un utente malintenzionato è in grado di indovinare o ottenere la password di un utente legittimo, l'utente malintenzionato può quindi autenticarsi e fingere di essere te.
Sulla nostra piattaforma di web hosting, non consentiamo l'autenticazione della password SSH.
Ci sono diversi vantaggi tra cui:
- Gli hacker malintenzionati non possono eseguire accessi basati su chiavi di forza bruta
- in caso di compromissione di un server, un malintenzionato non sarà in grado di accedere al tuo server anche dopo aver acquisito il controllo della password.
- e poiché all'accesso non è richiesta una password, puoi accedere ai server da script o strumenti di automazione che devi eseguire senza sorveglianza.
Ci aspettiamo invece che i clienti che desiderano utilizzare SFTP/SSH utilizzino l'autenticazione con chiave pubblica.
Con SSH viene generata una chiave crittografica composta da due parti :
- una chiave privata di solito denominata id_rsa che è memorizzata sul tuo computer locale.
- una chiave pubblica di solito denominata id_rsa.pub che verrà posizionata sul server a cui accederai.
Questo tutorial ha lo scopo di mostrarti quanto è facile farlo.
Come generare la tua chiave e aggiungerla a CPanel
Mac
Tira su il tuo terminale.
Incolla qualcosa come il testo qui sotto:
$ ssh-keygen -t rsa -b 4096 -C "$identifier"
dove $identifier è il tuo indirizzo email o qualcos'altro.
Quando ti viene chiesto di "Inserire un file in cui salvare la chiave", premi Invio.
Questo accetta il percorso del file predefinito.
Al prompt, digita una passphrase sicura.
Ora crea un file ~/.ssh/config per caricare automaticamente le chiavi nell'agente ssh e memorizzare le passphrase nel tuo portachiavi.
touch ~/.ssh/config
Avvia ssh-agent in background.
$ eval "$(ssh-agent -s)"
Modifica il file che hai creato in precedenza:
cd .ssh && vi ~/.ssh/config
Aggiungi questo al file:
Host *
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/id_rsa
Aggiungi la tua chiave privata SSH all'agente ssh e memorizza la tua passphrase nel portachiavi.
$ ssh-add -K ~/.ssh/id_rsa
Conferma l'esistenza della chiave:
$ ls -al ~/.ssh
Ora copia la chiave pubblica generata che aggiungerai al server cPanel:
$ cat .ssh/id_rsa.pub
Finestre
Windows ha un flusso di lavoro diverso, ma questi aiuteranno:
Genera una coppia di chiavi con PuTTY
Scarica PuTTYgen (puttygen.exe) e PuTTY (putty.exe) dal sito ufficiale all'indirizzo http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.
Avvia puttygen.exe.
Il tipo di chiave RSA nella parte inferiore della finestra è selezionato per impostazione predefinita per una coppia di chiavi RSA, ma ED25519 (EdDSA con Curve25519) è un'opzione comparabile se il server SSH della macchina remota supporta le firme DSA.
Aumenta la dimensione della chiave RSA da 2048 bit a 4096 e fai clic su Genera
PuTTY utilizza l'input casuale del mouse per generare una chiave univoca.
Una volta iniziata la generazione della chiave, continua a muovere il mouse fino a riempire la barra di avanzamento.
Al termine, PuTTY visualizzerà la nuova chiave pubblica.
Fai clic destro su di esso e seleziona Seleziona tutto, quindi copia la chiave pubblica in un editor di testo:Testo sublime , Atom o anche Blocco note .
Salva la chiave pubblica come file .txt .
Questo è importante perché un formato RTF come .rtf o .doc può aggiungere caratteri di formattazione aggiuntivi e quindi la tua chiave privata non funzionerà.
Immettere una passphrase per la chiave privata nei campi di testo Key passphrase e Conferma passphrase.
Fai clic su Salva chiave privata.
Scegli un nome file e una posizione in Explorer mantenendo l'estensione del file .ppk.
Ricorda la posizione del file della chiave privata per un uso futuro.
Se prevedi di creare più coppie di chiavi per server diversi, assicurati di assegnare loro nomi diversi in modo da non sovrascrivere le vecchie chiavi con le nuove.
Convertire la chiave pubblica nel formato OpenSSH
Ora apri la tua chiave privata in PuTTYGen.
Fai clic su Carica .
Seleziona la tua chiave privata che termina con .ppk, quindi fai clic su "Apri ”.
Guarda il menu in alto e seleziona "Conversioni ” -> “Esporta chiave OpenSSH” .
Salva la nuova chiave OpenSSH quando richiesto.
La chiave pubblica sarà sotto chiave pubblica per essere incollata in cPanel.
Il nuovo Windows ha un approccio migliore a questo e potresti voler dare un'occhiata ai seguenti collegamenti:
- https://winscp.net/eng/docs/guide_windows_openssh_server
- https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement
- https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview
- https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse
Una volta generate le chiavi, accedi a cPanel
Scorri verso il basso fino a Sicurezza>> Accesso SSH .
Per importare una chiave SSH esistente, procedi nel seguente modo:
Fai clic su Gestisci chiavi SSH .
Fai clic su Importa chiave e copia l'id_rsa.pub che hai generato.
Per utilizzare un nome chiave personalizzato, inserisci il nome della chiave in Scegli un nome per questa chiave (il valore predefinito è id_dsa).
Incolla le chiavi pubbliche e private nelle caselle di testo appropriate.
Fai clic su Importa .
Devi autorizzare nuove chiavi prima di tentare di usarle.
Quindi torna indietro e fai clic su Gestisci per gestire l'autorizzazione per la chiave. Apparirà una nuova interfaccia.
Fai clic su Autorizza per autorizzare la chiave o Rimuovi l'autorizzazione quando è necessario revocare l'autorizzazione per la chiave.
Protezione delle chiavi pubbliche SSH:
- se sei un'organizzazione o condividi gli accessi SSH con altre persone o qualcun altro, disponi di un modo centralizzato per gestire tutte le tue chiavi SSK.
- Passphrase delle chiavi e non utilizzare la stessa passphrase con più chiavi (con ciascuna chiave che garantisce l'accesso a un server diverso).
- ruotare attivamente le chiavi SSH costringendo gli utenti a generare chiavi su base regolare.
- non condividere mai una chiave privata tra dispositivi fisici.
- se possibile, lega ogni chiave SSH a un individuo, piuttosto che solo a un account a cui possono accedere più utenti.
- usa un host bastion. Gli host Bastion ti consentono di creare una regola firewall che consente il traffico SSH solo verso una singola istanza.
- imposta avvisi per avvisarti quando alcuni SSH o accedono correttamente.
Lottando con la gestione delle chiavi?
Questi strumenti di seguito rendono la gestione delle chiavi SSH un gioco da ragazzi.
Ti daranno sicuramente un modo per consolidare e accedere in modo sicuro ai tuoi sistemi, app, reti e file server, indipendentemente dalla piattaforma, dal protocollo, dal provider o dalla posizione.
- Utilizza :https://userify.com
- Jumpcloud :https://jumpcloud.com/
- CyberArk :https://www.cyberark.com/
- Oltre la fiducia :https://www.beyondtrust.com/
- Gestione chiavi universale SSH :http://www.ssh.com/
- Casella delle chiavi :http://sshkeybox.com
Quando si tratta delle tue risorse digitali (sito web, database, criptovalute, ecc.), l'utilizzo della password dovrebbe essere considerato come una porta di accesso a un bar comune.
Tuttavia, queste di seguito possono essere considerate best practice per le password e possono essere in grado di ridurre il rischio connesso alle password:
Best practice per le password
- non utilizzare alcuna informazione di identificazione personale come parte della tua password:nome tuo, del coniuge, di altri significativi, dei figli, dell'amico o dell'animale domestico, data di nascita, numero di targa, numero di telefono, numero di previdenza sociale, marca del tuo automobile, indirizzo di casa, ecc.
- non utilizzare una parola contenuta in dizionari, elenchi di ortografia, acronimi o abbreviazioni o altri elenchi di parole inglesi o stranieri.
- non condividere la tua password con un'altra persona per nessun motivo.
- non scrivere le tue password su carta.
- non riutilizzare la stessa (o simile) password su due siti web.
- assicurati che la password che stai utilizzando o generando contenga caratteri misti, caratteri/simboli non alfabetici e sia lunga almeno 20 caratteri.
- prendere l'abitudine di utilizzare l'autenticazione a due fattori insieme a qualsiasi password che possiedi.
- e periodicamente o ogni 90-120 giorni, cambia ogni password che possiedi.