Zwiększenie bezpieczeństwa SSH

Artykuł ten jest wynikiem translacji automatycznej wykonywane przez oprogramowanie. Możesz przeglądać źródła artykułu tutaj.

he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Gdy jest to możliwe, zaleca się, aby zmienić domyślne identyfikatory i domyślnych portów usług krytycznych.

O SSH Zobaczmy niektóre elementy, które wzmocnią bezpieczeństwo tej usługi.

Dans le cadre de la rédaction de ci article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Serwer, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.

Domyślnie aby połączyć w SSH, musisz nawiązać połączenie na porcie 22. Zmiana tego portu już chroni przed wielu ataków przez brute-force.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 w pliku /etc/ssh/sshd_config.

W celu dokonania ataku brute-force mniej skuteczne, można także wyłączyć SSH połączenia za pomocą konta głównego. W związku z tym będzie miał jednego użytkownika innego niż domyślne konto i kontynuować podniesienie uprawnień z tego konta praw administratora.

On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter w SSH, il faudra donc ajouter la ligne suivante w pliku de configuration : AllowUsers ikoula

Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Serwer, la connexion est coupée. Okres ten może być zrewidowane w dół (Oczywiście po opóźnienie i stabilność połączenia,). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.

Teraz zmienimy algorytmy wykorzystywane przez SSH, aby ograniczyć użycie do niektórych dodając dwie dodatkowe linie w pliku konfiguracji usługi SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debianie domyślnie zawsze dodaje ciąg znaków do banerów SSH. Krótko mówiąc, jeśli wykonać użytkownik telnet do Twojego Serwer (Telnet IP_SERVER 22), Oto, co możesz dostać :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Warto więc wyłączyć to zachowanie, aby nie wyświetlać nazwę naszej dystrybucji :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Teraz let's get to :

SSH-2.0-OpenSSH_6.7p1

Zmiany są kompletne, warto więc ponownie uruchomić usługę zmiany być skuteczne :

systemctl restart ssh.service

Można także zaimplementować ograniczenia przez adres IP dla usługi SSH (Jeśli Twój Serwer jest nie już za zaporą na przykład lub Twój iptables przepisy o jak nie już).

Będziemy zatem zakazać połączenia SSH do każdego i umieścić wyjątek dla naszych adresów IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

W związku z tym tylko adresy IP 12.34.56.78 et 98.76.54.32 będzie mógł połączyć się do głosowania Serwer en SSH (Zamień z odpowiednimi, adresy IP oczywiście).

Alternatywnie można zaimplementować uwierzytelnianie przez wymiany kluczy, jeśli chcesz.