Zwiększenie bezpieczeństwa SSH

ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH fr:Accroître la sécurité de SSH

Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

Zawsze, gdy jest to możliwe, zalecamy zmodyfikować domyślne identyfikatory i domyślnych portów usług krytycznych.

Dotyczące SSH widzimy tutaj kilka elementów, które wzmocnią bezpieczeństwo tej usługi.

W kontekście prac legislacyjnych w tym artykule my są oprzez te na typ dystrybucji Debiana Jessie. W następstwie serwera, konfiguracja może być konieczna zmiana. W związku z tym, należy dostosować do własnych wymagań.

Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już może zapobiec wielu ataków przez brutalnej siły.

Jeśli chcesz użyć SSH na porcie innym niż domyślny, trzeba będzie zmodyfikować Port 22 przez Port 55555 w pliku /i c/ssh/sshd_config.

W celu dokonania ataki brute-force jest znacznie mniej skuteczny, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i przejdź do podniesienie poziomu uprawnień z tego konta praw administratora.

W związku z tym będziemy przekazywać opcji powiązanych PermitRootLogin tak à PermitRootLogin nr i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi Ikoula w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym : AllowUsers ikoula

Jeżeli ponad dwie minuty połączenia nie są zajęte podczas połączenia SSH do serwera, połączenie jest przerwane. Okres ten może zostać pomniejszony (po opóźnienie i stabilność połączenia, oczywiście ). Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować parametr LoginGraceTime. Możemy teraz zmodyfikować wiersz LoginGraceTime 120 par LoginGraceTime 30 w pliku /etc/ssh/sshd_config.

Teraz będziemy modyfikować algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli masz telnet z serwerem (Telnet IP_SERVER 22), Oto, co możesz dostać :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Warto więc wyłączyć to zachowanie nie jest już wyświetlane nazwy naszej dystrybucji :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Teraz let's get to :

SSH-2.0-OpenSSH_6.7p1

Zmiany są kompletne, możemy będzie ponownie uruchomić usługę zmiany być skuteczne :

systemctl restart ssh.service

Należy zauważyć, że można również skonfigurować adres IP dla danego ograniczenia usługi SSH (Jeśli serwer nie jest już za zaporą na przykład lub reguł iptables nie ma już potrzeby ).

Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

W związku z tym, tylko adresy IP 12.34.56.78 et 98.76.54.32 będzie mógł połączyć się serwer SSH głosowania (Zastąpić kurs odpowiedni adres IP ).

Alternatywnie można zaimplementować uwierzytelnianie podczas wymiany kluczy, jeśli chcesz.