Creşte securitatea SSH

Acest articol este rezultatul unei traduceri automate efectuate de către software-ul. Puteți vizualiza sursa articol aici.

he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Odată ce acest lucru este posibil, se recomandă să schimbaţi implicit identificatori şi porturile implicit de servicii critice.

Despre SSH, să vedem unele elemente care va consolida securitatea acestui serviciu.

Dans le cadre de la rédaction de cşi article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Server, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.

În mod implicit, pentru a vă conecta în SSH, tu trebuie să stabilească o conexiune pe portul 22. Aceasta schimba portul poate deja proteja de multe atacuri de forţă brută.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 în fişierul /etc/ssh/sshd_config.

Pentru a face brute-vigoare atacuri mai puţin eficace, puteţi dezactiva, de asemenea, SSH conexiune prin contul de root. Prin urmare, va avea un singur utilizator decât contul implicit şi continua cu o altitudine de privilegii la acest cont pentru a avea drepturi de administrator.

On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter în SSH, il faudra donc ajouter la ligne suivante în fişierul de configuration : AllowUsers ikoula

Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Server, la connexion est coupée. Această perioadă poate fi revizuită în jos (în urma latenţă şi stabilitatea conexiunii, desigur). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.

Acum vom schimba algoritmii utilizaţi de SSH pentru a limita utilizarea la unele adăugând două linii suplimentare în fişierul de configurare a serviciului SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian în mod implicit adaugă întotdeauna un şir de caractere la banner-ul SSH. Să-l puneţi pur şi simplu, dacă vă efectua un telnet la dvs Server (Telnet IP_SERVER 22), aici este ceea ce veţi obţine :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Aşa că haideţi să dezactivaţi acest comportament pentru a nu mai afişa numele noastre de distribuţie :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Acum, sa trecem aceasta :

SSH-2.0-OpenSSH_6.7p1

Modificările sunt complet, deci haideţi să reporniți serviciul pentru ca modificările să fie eficient :

systemctl restart ssh.service

Aveţi posibilitatea, de asemenea, să implementaţi restrângerea adresa IP pentru serviciul SSH (Dacă dumneavoastră Server este deja în spatele unui paravan de protecţie, de exemplu sau iptables dumneavoastră reguli nu nu deja necesare).

Prin urmare vom interzice conexiuni SSH pentru toată lumea şi pune o excepţie pentru noastre adrese IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Astfel, doar IP adresat la 12.34.56.78 et 98.76.54.32 va fi permis să se conecteze la vot Server en SSH (Înlocui cu corespunzătoare, IP adrese desigur).

Alternativ, aveţi posibilitatea să implementaţi autentificare prin schimbul de chei dacă doriţi.