Zwiększenie bezpieczeństwa SSH

he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH fr:Accroître la sécurité de SSH

Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.

O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.

W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. Po w miejsce Twój | _. _. konfiguracji mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb. SerwerDomyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force.

Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _. Okres ten może być zrewidowane w dół | _. _. po opóźnienie i stabilność połączenia, oczywiście: _! _ | Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _. | _. _. Teraz zmienimy linii | _. _. | _. _. przez: _! _ | | _. _. w pliku: _. _. Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _. Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego | _. _. Telnet IP_SERVER | _. _. , Oto, co możesz dostać: _! _ | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _. Teraz let's get to | _. _. Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _. Jeśli Twój | _. _. jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już | _. _. Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _. W związku z tym, tylko IP adresy: _! _ | i: _! _ | będzie mógł połączyć głosowanie | _. _. SSH | _. _. Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. | _. _. przez: _! _ | | _. _. w pliku: _. _. W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora. 22Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _.

PermitRootLogin nr | _. _. i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _. Ikoula | _. _. w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _. AllowUsers | _. _. Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona podczas połączenia SSH do Twojego | _. _. połączenie jest cięty. Port 22 Port 55555 /etc/ssh/sshd_config.

' à '  ikoula  : '

Serwer
().
LoginGraceTime. 
LoginGraceTime 120 par LoginGraceTime 30  /etc/ssh/sshd_config.

:

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Serwer ( 22) :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

:

echo "DebianBanner no" >> /etc/ssh/sshd_config

:

SSH-2.0-OpenSSH_6.7p1

:

systemctl restart ssh.service

( Serwer ).

:

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

12.34.56.78 et 98.76.54.32  Serwer  ().