הבדלים בין גרסאות בדף "להגביר את האבטחה של SSH"
(יצירת דף עם התוכן "<br /> מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר...") |
|||
| שורה 1: | שורה 1: | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
<br /> | <br /> | ||
גרסה מ־18:54, 7 ביוני 2016
fr:Accroître la sécurité de SSH
מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר כאן.
כאשר הדבר אפשרי, אנו ממליצים לשנות את ברירת המחדל של מזהי והיציאות ברירת המחדל של שירותים קריטיים.
לגבי SSH, אנו רואים כאן כמה אלמנטים אשר יחזק את האבטחה של שירות זה.
בהקשר של ניסוח מאמר זה, אנחנו מבוססים על התפלגות סוג ג'סי דביאן. עוקב בשרת שלך, תצורת ייתכן שיהיה עליך לשנות. לכן, צריך, להתאים לצרכים שלך.
כברירת מחדל, להתחבר ב- SSH, עליך ליצור חיבור ביציאה 22. לשנות זאת היציאה כבר יכול למנוע פיגועים רבים על ידי הכוח הברוטאלי.
אם ברצונך להשתמש SSH ביציאה מברירת המחדל אחת, יהיה עליך לשנות יציאה 22 מאת יציאה 55555 בקובץ /ו c/ssh/sshd_config.
על מנת להפוך בכוח התקפות הרבה פחות יעיל, ניתן לבטל גם את חיבור SSH באמצעות חשבון שורש. זה לכן יש למשתמש אחד חשבון ברירת המחדל והמשך העלאת מחשבון זה עם זכויות מנהל מערכת.
לכן נחלוף אפשרות משויכת כן PermitRootLogin à מס PermitRootLogin והצהר למשתמשים מורשים להתחבר. כדי לאפשר למשתמש ikoula לכן כדי להתחבר ב- SSH, להוסיף את השורה הבאה בקובץ התצורה : AllowUsers ikoula
אם מעבר שתי דקות מידע החיבור מוחרמות לא במהלך חיבור SSH לשרת שלך, הקשר נחתך.
תקופה זו עשוי להיות מותאם כלפי מטה (בעקבות ההשהיה, יציבותו של החיבור שלך, כמובן ).
. שלושים שניות עשוי להספיק. כדי לשנות ערך זה, אנו יהיה לשנות את הפרמטר LoginGraceTime.
כעת נשנה את הקו LoginGraceTime 120 מאת LoginGraceTime 30 בקובץ /etc/ssh/sshd_config.
אנחנו עכשיו יהיה לשנות את האלגוריתמים בשימוש SSH כדי להגביל את השימוש בחלק על-ידי הוספת שני קווים נוספים בקובץ התצורה של שירות SSH :
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
דביאן כברירת מחדל תמיד מוסיף מחרוזת תווים הבאנר SSH. במילים פשוטות, אם יש לך של telnet לשרת שלך (Telnet IP_SERVER 22), כאן הוא מה שאתה מקבל :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
אז בואו לבטל התנהגות זו כבר לא יציג את שם ההפצה שלנו :
echo "DebianBanner no" >> /etc/ssh/sshd_config
. עכשיו, בוא ניקח את זה :
SSH-2.0-OpenSSH_6.7p1
השינויים הושלמו, אנחנו יפעיל מחדש את השירות להיות יעיל שהשינויים :
systemctl restart ssh.service
שימו לב: באפשרותך גם להגדיר את כתובת ה-IP עבור שלך הגבלות שירות SSH (אם השרת אינו כבר מאחורי חומת אש לדוגמה או הכללים iptables שלך כבר לא צריך ).
אנו לכן לאסור התקשרויות SSH לכולם, שם אחרוג ממנהגי עבור כתובות ה-IP שלנו :
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
לפיכך, כתובות ה-IP רק 12.34.56.78 et 98.76.54.32 יורשו להתחבר אל שרת SSH ההצבעה (להחליף את הקורס המתאים של כתובת ה-IP ).
לחלופין, באפשרותך ליישם אימות על ידי חילופי מפתחות אם תרצו.
הפעלת רענון אוטומטי של התגובות