Zwiększenie bezpieczeństwa SSH

Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.

O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.

W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. W następstwie serwera, konfiguracja mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb.

Domyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force. 22Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _. PermitRootLogin nr | _. _. i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _. Ikoula | _. _. w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _. AllowUsers | _. _. Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona w połączenie SSH do serwera, połączenie jest cięty. | _. _. przez: _! _ | | _. _. w pliku: _. _. W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.

Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _. Port 22 Okres ten może być zrewidowane w dół | _. _. po opóźnienie i stabilność połączenia, oczywiście: _! _ | Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _. | _. _. Teraz zmienimy linii | _. _. | _. _. przez: _! _ | | _. _. w pliku: _. _. Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _. Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli sprawi, że telnet z serwerem | _. _. Telnet IP_SERVER | _. _. , Oto, co możesz dostać: _! _ | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _. Teraz let's get to | _. _. Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _. Jeśli serwer nie jest już za zaporą na przykład lub reguł iptables nie ma już potrzeby | _. _. Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _. W związku z tym, tylko IP adresy: _! _ | i: _! _ | będzie mógł połączyć się z serwerem głosowanie w SSH | _. _. Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. Port 55555 /etc/ssh/sshd_config.

' à '  ikoula  : '

().
LoginGraceTime. 
LoginGraceTime 120 par LoginGraceTime 30  /etc/ssh/sshd_config.

:

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

( 22) :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

:

echo "DebianBanner no" >> /etc/ssh/sshd_config

:

SSH-2.0-OpenSSH_6.7p1

:

systemctl restart ssh.service

().

:

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

12.34.56.78 et 98.76.54.32  ().