Creşte securitatea SSH

ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH fr:Accroître la sécurité de SSH

Acest articol este rezultatul unei traduceri automate efectuate de către software-ul. Puteți vizualiza sursa articol aici.

Ori de câte ori este posibil, vă recomandăm să modificaţi identificatori lipsă şi porturile implicit de servicii critice.

În ceea ce priveşte SSH, vedem aici câteva elemente care va consolida securitatea acestui serviciu.

În cadrul elaborării acestui articol, ne sunt bazate pe o distribuţie de tip Debian Jessie. În urma sus pe server, configurare poate fi necesar să schimba. Ar trebui prin urmare, se adapta la nevoile dumneavoastra.

În mod implicit, pentru a vă conecta în SSH, tu trebuie să stabilească o conexiune pe portul 22. Aceasta schimba portul deja poate preveni multe atacuri prin forţă brută.

Dacă doriţi să folosiţi SSH port decât cel implicit se, trebuie să modificaţi Portul ul 22 de Port 55555 în fişierul /şi c/ssh/sshd_config.

Pentru a face brute-vigoare atacuri mult mai puţin eficace, puteţi dezactiva, de asemenea, SSH conexiune prin contul de root. Prin urmare, va avea un singur utilizator decât contul implicit şi trece la altitudinea de privilegiu la acest cont pentru a avea drepturi de administrator.

Vom trece prin urmare, opţiunea asociată de Da PermitRootLogin à PermitRootLogin No. şi declara utilizatorii permis să se conecteze. Pentru a permite utilizatorului ikoula prin urmare, pentru a conecta în SSH, adăugaţi următoarea linie în fişierul de configurare : AllowUsers ikoula

Dacă dincolo de două minute informațiile de conectare nu sunt confiscate în timpul unei conexiuni SSH la server, conexiunea se taie. Această perioadă poate fi ajustată în jos (în urma latenţă şi stabilitatea conexiunii, desigur ). Treizeci de secunde poate fi suficient. Pentru a modifica această valoare, ne va modifica de ametrul LoginGraceTime. Acum putem modifica linia LoginGraceTime 120 par LoginGraceTime 30 în fişierul /etc/ssh/sshd_config.

Am acum va modifica algoritmii utilizaţi de SSH pentru a limita utilizarea la unele adăugând două linii suplimentare în fişierul de configurare a serviciului SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian în mod implicit adaugă întotdeauna un şir de caractere la banner-ul SSH. Să-l puneţi pur şi simplu, dacă vă face un telnet la serverul (Telnet IP_SERVER 22), aici este ceea ce veţi obţine :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Aşa că haideţi să dezactivaţi acest comportament nu mai afişează numele de noastre de distribuţie :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Acum, sa trecem aceasta :

SSH-2.0-OpenSSH_6.7p1

Modificările sunt complete, noi va reporni serviciul pentru ca modificările să fie eficientă :

systemctl restart ssh.service

Reţineţi că aveţi posibilitatea să setaţi până adresa IP pentru dumneavoastră restricţii de serviciu SSH (În cazul în care server-ul nu este deja în spatele unui firewall de exemplu sau iptables regulile nu trebuie deja ).

Prin urmare vom interzice conexiuni SSH pentru toată lumea şi pune o excepţie pentru noastre adrese IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Astfel, doar IP adrese 12.34.56.78 et 98.76.54.32 va fi permis să se conecteze la vot SSH server (Înlocui cu adresa IP corespunzătoare cursului ).

Alternativ, aveţi posibilitatea să implementaţi autentificare prin schimbul de chei dacă doriţi.