Zwiększenie bezpieczeństwa SSH

Z Pl Ikoula wiki
Przejdź do nawigacji Przejdź do wyszukiwania


Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.


O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.


W ramach pisania tego artykułu będziemy opierają się na dystrybucji typu Debiana Jessie. Po w miejsce Twój | _. _. konfiguracji mogą ulec zmianie. Muszą w związku z tym, dostosować się do Twoich potrzeb. SerwerDomyślnie, aby połączyć w SSH, musisz nawiązać połączenie na porcie | _. _. . Zmiana tego portu już chroni przed wielu ataków przez brute-force.


Jeśli chcesz użyć SSH na porcie innym niż domyślny, więc należy zmodyfikować | _. _. Okres ten może być zrewidowane w dół | _. _. po opóźnienie i stabilność połączenia, oczywiście: _! _ | Trzydzieści sekund może być wystarczające. Aby zmienić tę wartość, możemy zmodyfikować amr | _. _. | _. _. Teraz zmienimy linii | _. _. | _. _. przez: _! _ | | _. _. w pliku: _. _. Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH | _. _. Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego | _. _. Telnet IP_SERVER | _. _. , Oto, co możesz dostać: _! _ | Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji | _. _. Teraz let's get to | _. _. Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne: _! _ | Można także zaimplementować ograniczenia przez adres IP dla usługi SSH | _. _. Jeśli Twój | _. _. jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już | _. _. Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych IPS | _. _. W związku z tym, tylko IP adresy: _! _ | i: _! _ | będzie mógł połączyć głosowanie | _. _. SSH | _. _. Należy zastąpić odpowiednie IP adresy oczywiście: _! _ | Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz. | _. _. przez: _! _ | | _. _. w pliku: _. _. W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora. 22Więc mamy zamiar przekazać opcji powiązanych | _. _. PermitRootLogin tak | _. _.

PermitRootLogin nr | _. _. i zadeklarować użytkownicy mogą się łączyć. Aby umożliwić użytkownikowi | _. _. Ikoula | _. _. w związku z tym aby połączyć w SSH, Dodaj następujący wiersz w pliku konfiguracyjnym | _. _. AllowUsers | _. _. Jeżeli ponad dwie minuty informacje o połączeniu nie jest przechwycona podczas połączenia SSH do Twojego | _. _. połączenie jest cięty. Port 22 Port 55555 /etc/ssh/sshd_config. 



' à '  ikoula  : '



Serwer
().
LoginGraceTime. 
LoginGraceTime 120 par LoginGraceTime 30  /etc/ssh/sshd_config.



:

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config 


Serwer ( 22) :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2 


:

echo "DebianBanner no" >> /etc/ssh/sshd_config 


:

SSH-2.0-OpenSSH_6.7p1 


:

systemctl restart ssh.service 


( Serwer ).



:

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow 


12.34.56.78 et 98.76.54.32  Serwer  ().



Nie możesz publikować komentarzy.

Źródło: „https://pl-wiki.ikoula.com/index.php?title=Zwiększenie_bezpieczeństwa_SSH&oldid=8957