Zwiększenie bezpieczeństwa SSH: Różnice pomiędzy wersjami
| (Nie pokazano 798 pośrednich wersji utworzonych przez tego samego użytkownika) | |||
| Linia 1: | Linia 1: | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accroître la sécurité de SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
| + | <span data-link_translate_en_title="Increase the security of SSH" data-link_translate_en_url="Increase the security of SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]] | ||
| + | <span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar la seguridad de SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | ||
| + | <span data-link_translate_pt_title="Aumentar a segurança do SSH" data-link_translate_pt_url="Aumentar a segurança do SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]] | ||
| + | <span data-link_translate_it_title="Aumentare la sicurezza di SSH" data-link_translate_it_url="Aumentare la sicurezza di SSH"></span>[[:it:Aumentare la sicurezza di SSH]][[it:Aumentare la sicurezza di SSH]] | ||
| + | <span data-link_translate_nl_title="Verhoging van de veiligheid van SSH" data-link_translate_nl_url="Verhoging van de veiligheid van SSH"></span>[[:nl:Verhoging van de veiligheid van SSH]][[nl:Verhoging van de veiligheid van SSH]] | ||
| + | <span data-link_translate_de_title="Erhöhen Sie die Sicherheit von SSH" data-link_translate_de_url="Erhöhen Sie die Sicherheit von SSH"></span>[[:de:Erhöhen Sie die Sicherheit von SSH]][[de:Erhöhen Sie die Sicherheit von SSH]] | ||
| + | <span data-link_translate_zh_title="提高 SSH 的安全性" data-link_translate_zh_url="提高 SSH 的安全性"></span>[[:zh:提高 SSH 的安全性]][[zh:提高 SSH 的安全性]] | ||
| + | <span data-link_translate_ar_title="زيادة أمان SSH" data-link_translate_ar_url="زيادة أمان SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]] | ||
| + | <span data-link_translate_ja_title="SSH のセキュリティを高める" data-link_translate_ja_url="SSH のセキュリティを高める"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]] | ||
| + | <span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH" data-link_translate_pl_url="Zwiększenie bezpieczeństwa SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]] | ||
| + | <span data-link_translate_ru_title="Повысить безопасность SSH" data-link_translate_ru_url="Повысить безопасность SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]] | ||
| + | <span data-link_translate_ro_title="Creşte securitatea SSH" data-link_translate_ro_url="Creşte securitatea SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]] | ||
| + | <span data-link_translate_he_title="להגביר את האבטחה של SSH" data-link_translate_he_url="להגביר את האבטחה של SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]] | ||
| + | <br />Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu [[:fr:Accroître la sécurité de SSH|tutaj]].<br /><span data-translate="fr"></span><br /> | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accroître la sécurité de SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
| + | <span data-link_translate_he_title="להגביר את האבטחה של SSH" data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]] | ||
| + | <span data-link_translate_ro_title="Creşte securitatea SSH" data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]] | ||
| + | <span data-link_translate_ru_title="Повысить безопасность SSH" data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]] | ||
| + | <span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH" data-link_translate_pl_url="Zwi%C4%99kszenie+bezpiecze%C5%84stwa+SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]] | ||
| + | <span data-link_translate_ja_title="SSH のセキュリティを高める" data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]] | ||
| + | <span data-link_translate_ar_title="زيادة أمان SSH" data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%A3%D9%85%D8%A7%D9%86+SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]] | ||
| + | <span data-link_translate_zh_title="提高 SSH 的安全性" data-link_translate_zh_url="%E6%8F%90%E9%AB%98+SSH+%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%A7"></span>[[:zh:提高 SSH 的安全性]][[zh:提高 SSH 的安全性]] | ||
| + | <span data-link_translate_de_title="Erhöhen Sie die Sicherheit von SSH" data-link_translate_de_url="Erh%C3%B6hen+Sie+die+Sicherheit+von+SSH"></span>[[:de:Erhöhen Sie die Sicherheit von SSH]][[de:Erhöhen Sie die Sicherheit von SSH]] | ||
| + | <span data-link_translate_nl_title="Verhoging van de veiligheid van SSH" data-link_translate_nl_url="Verhoging+van+de+veiligheid+van+SSH"></span>[[:nl:Verhoging van de veiligheid van SSH]][[nl:Verhoging van de veiligheid van SSH]] | ||
| + | <span data-link_translate_it_title="Aumentare la sicurezza di SSH" data-link_translate_it_url="Aumentare+la+sicurezza+di+SSH"></span>[[:it:Aumentare la sicurezza di SSH]][[it:Aumentare la sicurezza di SSH]] | ||
| + | <span data-link_translate_pt_title="Aumentar a segurança do SSH" data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]] | ||
<span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | <span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | ||
| − | <span data- | + | <span data-link_translate_en_title="Increase the security of SSH" data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]] |
| − | + | Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych. | |
| − | |||
| − | + | O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi. | |
| − | + | Dans le cadre de la rédaction de ci article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre {{Template:Serveur}}, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins. | |
| − | + | Domyślnie aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już chroni przed wielu ataków przez brute-force. | |
| + | Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier ''Port 22'' par ''Port 55555'' w pliku ''/etc/ssh/sshd_config''. | ||
| − | |||
| − | + | W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora. | |
| − | + | On va donc passer l'option associée de ''PermitRootLogin yes'' à ''PermitRootLogin no'' et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ''ikoula'' à se connecter w SSH, il faudra donc ajouter la ligne suivante w pliku de configuration : ''AllowUsers ikoula'' | |
| − | + | Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre {{Template:Serveur}}, la connexion est coupée. | |
| + | Okres ten może być zrewidowane w dół (Oczywiście po opóźnienie i stabilność połączenia,). | ||
| + | Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''. | ||
| + | Nous allons donc maintenant modifier la ligne ''LoginGraceTime 120'' par ''LoginGraceTime 30'' dans le fichier ''/etc/ssh/sshd_config''. | ||
| − | + | Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH : | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | Teraz | ||
<code> | <code> | ||
| Linia 40: | Linia 63: | ||
| − | Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli | + | Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego {{Template:Serveur}} (Telnet IP_SERVER 22), Oto, co możesz dostać : |
<code> | <code> | ||
| Linia 47: | Linia 70: | ||
| − | Warto więc wyłączyć to zachowanie nie | + | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji : |
<code> | <code> | ||
| Linia 54: | Linia 77: | ||
| − | Teraz let's get to | + | Teraz let's get to : |
<code> | <code> | ||
| Linia 61: | Linia 84: | ||
| − | Zmiany są kompletne, | + | Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne : |
<code> | <code> | ||
| Linia 68: | Linia 91: | ||
| − | + | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH (Jeśli Twój {{Template:Serveur}} jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już). | |
| − | Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP | + | Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP : |
<code> | <code> | ||
| Linia 80: | Linia 103: | ||
| − | W związku z tym | + | W związku z tym tylko adresy IP ''12.34.56.78'' et ''98.76.54.32'' będzie mógł połączyć się do głosowania {{Template:Serveur}} en SSH (Zamień z odpowiednimi, adresy IP oczywiście). |
| − | Alternatywnie można zaimplementować uwierzytelnianie | + | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. |
[[Category:Serwer_dedykowany]] | [[Category:Serwer_dedykowany]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||
| − | |||
<br /> | <br /> | ||
<comments /> | <comments /> | ||
Aktualna wersja na dzień 09:53, 10 lut 2017
fr:Accroître la sécurité de SSH
en:Increase the security of SSH
es:Aumentar la seguridad de SSH
pt:Aumentar a segurança do SSH
it:Aumentare la sicurezza di SSH
nl:Verhoging van de veiligheid van SSH
de:Erhöhen Sie die Sicherheit von SSH
zh:提高 SSH 的安全性
ar:زيادة أمان SSH
ja:SSH のセキュリティを高める
pl:Zwiększenie bezpieczeństwa SSH
ru:Повысить безопасность SSH
ro:Creşte securitatea SSH
he:להגביר את האבטחה של SSH
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.
fr:Accroître la sécurité de SSH
he:להגביר את האבטחה של SSH
ro:Creşte securitatea SSH
ru:Повысить безопасность SSH
pl:Zwiększenie bezpieczeństwa SSH
ja:SSH のセキュリティを高める
ar:زيادة أمان SSH
zh:提高 SSH 的安全性
de:Erhöhen Sie die Sicherheit von SSH
nl:Verhoging van de veiligheid van SSH
it:Aumentare la sicurezza di SSH
pt:Aumentar a segurança do SSH
es:Aumentar la seguridad de SSH
en:Increase the security of SSH
Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.
O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.
Dans le cadre de la rédaction de ci article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Serwer, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.
Domyślnie aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już chroni przed wielu ataków przez brute-force.
Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 w pliku /etc/ssh/sshd_config.
W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.
On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter w SSH, il faudra donc ajouter la ligne suivante w pliku de configuration : AllowUsers ikoula
Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Serwer, la connexion est coupée.
Okres ten może być zrewidowane w dół (Oczywiście po opóźnienie i stabilność połączenia,).
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime.
Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.
Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego Serwer (Telnet IP_SERVER 22), Oto, co możesz dostać :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji :
echo "DebianBanner no" >> /etc/ssh/sshd_config
Teraz let's get to :
SSH-2.0-OpenSSH_6.7p1
Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne :
systemctl restart ssh.service
Można także zaimplementować ograniczenia przez adres IP dla usługi SSH (Jeśli Twój Serwer jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już).
Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
W związku z tym tylko adresy IP 12.34.56.78 et 98.76.54.32 będzie mógł połączyć się do głosowania Serwer en SSH (Zamień z odpowiednimi, adresy IP oczywiście).
Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz.
Włącz automatyczne odświeżanie komentarzy