Zwiększenie bezpieczeństwa SSH: Różnice pomiędzy wersjami
| Linia 1: | Linia 1: | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
<br /> | <br /> | ||
Wersja z 14:25, 11 paź 2016
fr:Accroître la sécurité de SSH
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.
Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.
O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.
W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. Po w miejsce Twój | _. _. konfiguracji mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb. SerwerDomyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force.
Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _. Okres ten może być zrewidowane w dół | _. _. po opóźnienie i stabilność połączenia, oczywiście: _! _ | Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _. | _. _. Teraz zmienimy linii | _. _. | _. _. przez: _! _ | | _. _. w pliku: _. _. Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _. Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego | _. _. Telnet IP_SERVER | _. _. , Oto, co możesz dostać: _! _ | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _. Teraz let's get to | _. _. Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _. Jeśli Twój | _. _. jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już | _. _. Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _. W związku z tym, tylko IP adresy: _! _ | i: _! _ | będzie mógł połączyć głosowanie | _. _. SSH | _. _. Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. | _. _. przez: _! _ | | _. _. w pliku: _. _. W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora. 22Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _.
PermitRootLogin nr | _. _. i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _. Ikoula | _. _. w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _. AllowUsers | _. _. Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona podczas połączenia SSH do Twojego | _. _. połączenie jest cięty. Port 22 Port 55555 /etc/ssh/sshd_config.
' à ' ikoula : '
Serwer (). LoginGraceTime. LoginGraceTime 120 par LoginGraceTime 30 /etc/ssh/sshd_config.
:
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
Serwer ( 22) :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
:
echo "DebianBanner no" >> /etc/ssh/sshd_config
:
SSH-2.0-OpenSSH_6.7p1
:
systemctl restart ssh.service
( Serwer ).
:
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
12.34.56.78 et 98.76.54.32 Serwer ().
Włącz automatyczne odświeżanie komentarzy