Zwiększenie bezpieczeństwa SSH: Różnice pomiędzy wersjami

Z Pl Ikoula wiki
Przejdź do nawigacji Przejdź do wyszukiwania
Linia 1: Linia 1:
 +
<br />Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu [[:fr:Accroître la sécurité de SSH|tutaj]].<br /><span data-translate="fr"></span><br />
 
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 
<span data-link_translate_ru_title="Повысить безопасность SSH"  data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]]
 
<span data-link_translate_ru_title="Повысить безопасность SSH"  data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]]
 +
<span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH"  data-link_translate_pl_url="Zwi%C4%99kszenie+bezpiecze%C5%84stwa+SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]]
 
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
 
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
 
<span data-link_translate_ar_title="زيادة أمان SSH"  data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%A3%D9%85%D8%A7%D9%86+SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]]
 
<span data-link_translate_ar_title="زيادة أمان SSH"  data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%A3%D9%85%D8%A7%D9%86+SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]]
Linia 11: Linia 13:
 
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
 
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
 
<span data-link_translate_en_title="Increase the security of SSH"  data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]]
 
<span data-link_translate_en_title="Increase the security of SSH"  data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]]
<span data-link_translate_fr_title="Accroître la sécurité de SSH"  data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]]
 
<br />
 
 
Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu [[:fr:Accroître la sécurité de SSH|tutaj]].<br /><span data-translate="fr"></span>
 
 
 
Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.
 
Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.
  
Linia 22: Linia 19:
  
  
W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. Po w miejsce Twój | _. _.  konfiguracji mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb. {{Template:Serveur}}Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _.  . Zmiana tego portu już chroni przed wielu ataków przez brute-force.
+
Dans le cadre de la rédaction de ci article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre {{Template:Serveur}}, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.
  
  
Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _.  Okres ten może być zrewidowane w dół | _. _.  po opóźnienie i stabilność połączenia, oczywiście: _! _ |  Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _.  | _. _.  Teraz zmienimy linii | _. _.  | _. _.  przez: _! _ |  | _. _.  w pliku: _. _.  Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _.  Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego | _. _.  Telnet IP_SERVER | _. _.  , Oto, co możesz dostać: _! _ |  Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _.  Teraz let's get to | _. _.  Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ |  Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _.  Jeśli Twój | _. _.  jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już | _. _.  Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _.  W związku z tym, tylko IP adresy: _! _ |  i: _! _ |  będzie mógł połączyć głosowanie | _. _.  SSH | _. _.  Należy zastąpić odpowiednie IP adresy oczywiście: _! _ |  Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. | _. _.  przez: _! _ |  | _. _.  w pliku: _. _.  W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora. 22Więc mamy zamiar przekazać opcji powiązanych | _. _.  PermitRootLogin tak | _. _.  
+
Domyślnie aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już chroni przed wielu ataków przez brute-force.
  
PermitRootLogin nr | _. _.  i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _.  Ikoula | _. _.  w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _.  AllowUsers  | _. _.  Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona podczas połączenia SSH do Twojego | _. _.  połączenie jest cięty. ''Port 22'' ''Port 55555'' ''/etc/ssh/sshd_config''.
+
Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier ''Port 22'' par ''Port 55555'' w pliku ''/etc/ssh/sshd_config''.
  
  
 +
W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.
  
  
 +
On va donc passer l'option associée de ''PermitRootLogin yes'' à ''PermitRootLogin no'' et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ''ikoula'' à se connecter w SSH, il faudra donc ajouter la ligne suivante w pliku de configuration : ''AllowUsers ikoula''
  
'''' à ''''  ''ikoula''  : ''''
 
  
 +
Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre {{Template:Serveur}}, la connexion est coupée.
 +
Okres ten może być zrewidowane w dół (Oczywiście po opóźnienie i stabilność połączenia,).
 +
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''.
 +
Nous allons donc maintenant modifier la ligne ''LoginGraceTime 120'' par ''LoginGraceTime 30'' dans le fichier ''/etc/ssh/sshd_config''.
  
{{Template:Serveur}}
 
().
 
''LoginGraceTime''.
 
''LoginGraceTime 120'' par ''LoginGraceTime 30''  ''/etc/ssh/sshd_config''.
 
  
 
+
Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :
:
 
  
 
<code>
 
<code>
Linia 51: Linia 48:
  
  
{{Template:Serveur}} ( 22) :
+
Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego {{Template:Serveur}} (Telnet IP_SERVER 22), Oto, co możesz dostać :
  
 
<code>
 
<code>
Linia 58: Linia 55:
  
  
:
+
Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji :
  
 
<code>
 
<code>
Linia 65: Linia 62:
  
  
:
+
Teraz let's get to :
  
 
<code>
 
<code>
Linia 72: Linia 69:
  
  
:
+
Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne :
  
 
<code>
 
<code>
Linia 79: Linia 76:
  
  
( {{Template:Serveur}} ).
+
Można także zaimplementować ograniczenia przez adres IP dla usługi SSH (Jeśli Twój {{Template:Serveur}} jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już).
  
  
:
+
Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :
  
 
<code>
 
<code>
Linia 91: Linia 88:
  
  
''12.34.56.78'' et ''98.76.54.32'' {{Template:Serveur}} ().  
+
W związku z tym tylko adresy IP ''12.34.56.78'' et ''98.76.54.32'' będzie mógł połączyć się do głosowania {{Template:Serveur}} en SSH (Zamień z odpowiednimi, adresy IP oczywiście).  
 
 
  
  
 +
Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz.
  
 
[[Category:Serwer_dedykowany]]
 
[[Category:Serwer_dedykowany]]
 
[[Category:Linux]]
 
[[Category:Linux]]
 
 
<br />
 
<br />
 
<comments />
 
<comments />

Wersja z 16:25, 8 lut 2017


Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.


O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.


Dans le cadre de la rédaction de ci article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Serwer, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.


Domyślnie aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już chroni przed wielu ataków przez brute-force.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 w pliku /etc/ssh/sshd_config.


W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.


On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter w SSH, il faudra donc ajouter la ligne suivante w pliku de configuration : AllowUsers ikoula


Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Serwer, la connexion est coupée. Okres ten może być zrewidowane w dół (Oczywiście po opóźnienie i stabilność połączenia,). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.


Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config


Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego Serwer (Telnet IP_SERVER 22), Oto, co możesz dostać :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2


Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji :

echo "DebianBanner no" >> /etc/ssh/sshd_config


Teraz let's get to :

SSH-2.0-OpenSSH_6.7p1


Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne :

systemctl restart ssh.service


Można także zaimplementować ograniczenia przez adres IP dla usługi SSH (Jeśli Twój Serwer jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już).


Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow


W związku z tym tylko adresy IP 12.34.56.78 et 98.76.54.32 będzie mógł połączyć się do głosowania Serwer en SSH (Zamień z odpowiednimi, adresy IP oczywiście).


Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz.


Nie możesz publikować komentarzy.

Źródło: „https://pl-wiki.ikoula.com/index.php?title=Zwiększenie_bezpieczeństwa_SSH&oldid=11517