Zwiększenie bezpieczeństwa SSH: Różnice pomiędzy wersjami

Z Pl Ikoula wiki
Przejdź do nawigacji Przejdź do wyszukiwania
Linia 1: Linia 1:
<span data-link_translate_en_title="Increase the security of SSH"  data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]]
 
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 
<span data-link_translate_ru_title="Повысить безопасность SSH"  data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]]
 
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
 
<span data-link_translate_ar_title="زيادة أمان SSH"  data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%A3%D9%85%D8%A7%D9%86+SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]]
 
<span data-link_translate_zh_title="提高 SSH 的安全性"  data-link_translate_zh_url="%E6%8F%90%E9%AB%98+SSH+%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%A7"></span>[[:zh:提高 SSH 的安全性]][[zh:提高 SSH 的安全性]]
 
<span data-link_translate_de_title="Erhöhen Sie die Sicherheit von SSH"  data-link_translate_de_url="Erh%C3%B6hen+Sie+die+Sicherheit+von+SSH"></span>[[:de:Erhöhen Sie die Sicherheit von SSH]][[de:Erhöhen Sie die Sicherheit von SSH]]
 
<span data-link_translate_nl_title="Verhoging van de veiligheid van SSH"  data-link_translate_nl_url="Verhoging+van+de+veiligheid+van+SSH"></span>[[:nl:Verhoging van de veiligheid van SSH]][[nl:Verhoging van de veiligheid van SSH]]
 
<span data-link_translate_it_title="Aumentare la sicurezza di SSH"  data-link_translate_it_url="Aumentare+la+sicurezza+di+SSH"></span>[[:it:Aumentare la sicurezza di SSH]][[it:Aumentare la sicurezza di SSH]]
 
<span data-link_translate_pt_title="Aumentar a segurança do SSH"  data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]]
 
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
 
<span data-link_translate_fr_title="Accroître la sécurité de SSH"  data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]]
 
 
<br />
 
<br />
  
 
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu [[:fr:Accroître la sécurité de SSH|tutaj]].<br /><span data-translate="fr"></span>
 
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu [[:fr:Accroître la sécurité de SSH|tutaj]].<br /><span data-translate="fr"></span>
  
Zawsze, gdy jest to możliwe, zalecamy zmodyfikować domyślne identyfikatory i domyślnych portów usług krytycznych.
+
Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.
  
  
Dotyczące SSH widzimy tutaj kilka elementów, które wzmocnią bezpieczeństwo tej usługi.
+
O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.
  
  
W kontekście prac legislacyjnych w tym artykule my są oprzez te na typ dystrybucji Debiana Jessie. W następstwie serwera, konfiguracja może być konieczna zmiana. W związku z tym, należy dostosować do własnych wymagań.
+
W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. W następstwie serwera, konfiguracja mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb.
  
  
Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie  22. Zmiana tego portu już może zapobiec wielu ataków przez brutalnej siły.
+
Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force. 22Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _.  PermitRootLogin nr | _. _.  i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _.  Ikoula | _. _.  w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _.  AllowUsers  | _. _.  Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona w połączenie SSH do serwera, połączenie jest cięty. | _. _.  przez: _! _ |  | _. _.  w pliku: _. _.  W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.
  
Jeśli chcesz użyć SSH na porcie innym niż domyślny, trzeba będzie zmodyfikować ''Port 22'' przez  ''Port 55555'' w pliku ''/i c/ssh/sshd_config''.
+
Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _.    ''Port 22'' Okres ten może być zrewidowane w dół | _. _.  po opóźnienie i stabilność połączenia, oczywiście: _! _ |  Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _.  | _. _.  Teraz zmienimy linii | _. _.  | _. _.  przez: _! _ |  | _. _.  w pliku: _. _.  Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _.  Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli sprawi, że telnet z serwerem | _. _.  Telnet IP_SERVER | _. _.  , Oto, co możesz dostać: _! _ |  Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _.  Teraz let's get to | _. _.  Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ |  Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _.  Jeśli serwer nie jest już za zaporą na przykład lub reguł iptables nie ma już potrzeby | _. _.  Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _.  W związku z tym, tylko IP adresy: _! _ |  i: _! _ |  będzie mógł połączyć się z serwerem głosowanie w SSH | _. _.  Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. ''Port 55555''  ''/etc/ssh/sshd_config''.
  
  
W celu dokonania ataki brute-force jest znacznie mniej skuteczny, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i przejdź do podniesienie poziomu uprawnień z tego konta praw administratora.
 
  
  
W związku z tym będziemy przekazywać opcji powiązanych  ''PermitRootLogin tak '' à ''PermitRootLogin nr '' i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi  ''Ikoula '' w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym  : ''AllowUsers ikoula''
 
  
 +
'''' à ''''  ''ikoula''  : ''''
  
Jeżeli ponad dwie minuty połączenia nie są zajęte podczas połączenia SSH do serwera, połączenie jest przerwane.
 
Okres ten może zostać pomniejszony  (po opóźnienie i stabilność połączenia, oczywiście ).
 
Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować parametr  ''LoginGraceTime''.
 
Możemy teraz zmodyfikować wiersz  ''LoginGraceTime 120'' par ''LoginGraceTime 30'' w pliku  ''/etc/ssh/sshd_config''.
 
  
  
Teraz będziemy modyfikować algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :
+
().
 +
''LoginGraceTime''.
 +
''LoginGraceTime 120'' par ''LoginGraceTime 30''  ''/etc/ssh/sshd_config''.
 +
 
 +
 
 +
  :
  
 
<code>
 
<code>
Linia 51: Linia 38:
  
  
Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli masz telnet z serwerem (Telnet IP_SERVER  22), Oto, co możesz dostać  :
+
  ( 22) :
  
 
<code>
 
<code>
Linia 58: Linia 45:
  
  
Warto więc wyłączyć to zachowanie nie jest już wyświetlane nazwy naszej dystrybucji :
+
  :
  
 
<code>
 
<code>
Linia 65: Linia 52:
  
  
Teraz let's get to :
+
  :
  
 
<code>
 
<code>
Linia 72: Linia 59:
  
  
Zmiany są kompletne, możemy będzie ponownie uruchomić usługę zmiany być skuteczne :
+
  :
  
 
<code>
 
<code>
Linia 79: Linia 66:
  
  
Należy zauważyć, że można również skonfigurować adres IP dla danego ograniczenia usługi SSH (Jeśli serwer nie jest już za zaporą na przykład lub reguł iptables nie ma już potrzeby ).
+
  ().
  
  
Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :
+
  :
  
 
<code>
 
<code>
Linia 91: Linia 78:
  
  
W związku z tym, tylko adresy IP ''12.34.56.78'' et ''98.76.54.32'' będzie mógł połączyć się serwer SSH głosowania (Zastąpić kurs odpowiedni adres IP ).  
+
  ''12.34.56.78'' et ''98.76.54.32''  ().  
 +
 
  
  
Alternatywnie można zaimplementować uwierzytelnianie podczas wymiany kluczy, jeśli chcesz.
 
  
 
[[Category:Serwer_dedykowany]]
 
[[Category:Serwer_dedykowany]]

Wersja z 09:44, 19 sie 2016


Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.


O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.


W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. W następstwie serwera, konfiguracja mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb.


Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force. 22Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _. PermitRootLogin nr | _. _. i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _. Ikoula | _. _. w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _. AllowUsers | _. _. Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona w połączenie SSH do serwera, połączenie jest cięty. | _. _. przez: _! _ | | _. _. w pliku: _. _. W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.

Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _. Port 22 Okres ten może być zrewidowane w dół | _. _. po opóźnienie i stabilność połączenia, oczywiście: _! _ | Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _. | _. _. Teraz zmienimy linii | _. _. | _. _. przez: _! _ | | _. _. w pliku: _. _. Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _. Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli sprawi, że telnet z serwerem | _. _. Telnet IP_SERVER | _. _. , Oto, co możesz dostać: _! _ | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _. Teraz let's get to | _. _. Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _. Jeśli serwer nie jest już za zaporą na przykład lub reguł iptables nie ma już potrzeby | _. _. Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _. W związku z tym, tylko IP adresy: _! _ | i: _! _ | będzie mógł połączyć się z serwerem głosowanie w SSH | _. _. Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. Port 55555 /etc/ssh/sshd_config. 



' à '  ikoula  : '



().
LoginGraceTime. 
LoginGraceTime 120 par LoginGraceTime 30  /etc/ssh/sshd_config.



:

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config 


( 22) :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2 


:

echo "DebianBanner no" >> /etc/ssh/sshd_config 


:

SSH-2.0-OpenSSH_6.7p1 


:

systemctl restart ssh.service 


().



:

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow 


12.34.56.78 et 98.76.54.32  ().



Nie możesz publikować komentarzy.

Źródło: „https://pl-wiki.ikoula.com/index.php?title=Zwiększenie_bezpieczeństwa_SSH&oldid=6563