הבדלים בין גרסאות בדף "להגביר את האבטחה של SSH"
| שורה 1: | שורה 1: | ||
| − | <span data- | + | <br />מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר [[:fr:Accroître la sécurité de SSH|כאן]].<br /><span data-translate="fr"></span><br /> |
| + | <span data-link_translate_he_title="להגביר את האבטחה של SSH" data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]] | ||
<span data-link_translate_ro_title="Creşte securitatea SSH" data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]] | <span data-link_translate_ro_title="Creşte securitatea SSH" data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]] | ||
<span data-link_translate_ru_title="Повысить безопасность SSH" data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]] | <span data-link_translate_ru_title="Повысить безопасность SSH" data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]] | ||
| שורה 11: | שורה 12: | ||
<span data-link_translate_pt_title="Aumentar a segurança do SSH" data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]] | <span data-link_translate_pt_title="Aumentar a segurança do SSH" data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]] | ||
<span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | <span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | ||
| − | <span data- | + | <span data-link_translate_en_title="Increase the security of SSH" data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]] |
| − | + | ברגע זה אפשרי, מומלץ לשנות את ברירת המחדל של מזהי והיציאות ברירת המחדל של שירותים קריטיים. | |
| − | |||
| − | + | לגבי SSH, בואו נראה כמה אלמנטים אשר יחזק את האבטחה של שירות זה. | |
| − | + | Dans le cadre de la rédaction de cו article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre {{Template:Serveur}}, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins. | |
| − | + | כברירת מחדל, להתחבר ב- SSH, עליך ליצור חיבור ביציאה 22. לשנות זאת היציאה יכול כבר להגן עליך מפני התקפות רבות על ידי כוח גס. | |
| + | Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier ''Port 22'' par ''Port 55555'' בקובץ ''/etc/ssh/sshd_config''. | ||
| − | |||
| − | + | על מנת להפוך בכוח התקפי פחות יעילים, ניתן לבטל גם את חיבור SSH באמצעות חשבון שורש. זה לכן יש למשתמש אחד חשבון ברירת המחדל ולהמשיך עם העלאת הרשאות מחשבון זה עם זכויות מנהל מערכת. | |
| − | + | On va donc passer l'option associée de ''PermitRootLogin yes'' à ''PermitRootLogin no'' et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ''ikoula'' à se connecter ב- SSH, il faudra donc ajouter la ligne suivante בקובץ de configuration : ''AllowUsers ikoula'' | |
| − | + | Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre {{Template:Serveur}}, la connexion est coupée. | |
| + | תקופה זו עשוי לעבור תיקון כלפי מטה (בעקבות ההשהיה, יציבותו של החיבור שלך, כמובן). | ||
| + | Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''. | ||
| + | Nous allons donc maintenant modifier la ligne ''LoginGraceTime 120'' par ''LoginGraceTime 30'' dans le fichier ''/etc/ssh/sshd_config''. | ||
| − | + | אנחנו נשנה עכשיו את האלגוריתמים בשימוש SSH כדי להגביל את השימוש בחלק על-ידי הוספת שני קווים נוספים בקובץ התצורה של שירות SSH : | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
<code> | <code> | ||
| שורה 51: | שורה 48: | ||
| − | דביאן כברירת מחדל תמיד מוסיף מחרוזת תווים הבאנר SSH. במילים פשוטות, אם | + | דביאן כברירת מחדל תמיד מוסיף מחרוזת תווים הבאנר SSH. במילים פשוטות, אם לבצע של telnet כדי שלך {{Template:Serveur}} (Telnet IP_SERVER 22), כאן הוא מה שאתה מקבל : |
<code> | <code> | ||
| שורה 58: | שורה 55: | ||
| − | אז בואו לבטל התנהגות זו כבר לא | + | אז בואו לבטל התנהגות זו כדי להציג את השם של התפלגות שלנו כבר לא : |
<code> | <code> | ||
| שורה 65: | שורה 62: | ||
| − | . עכשיו, | + | . עכשיו, קדימה : |
<code> | <code> | ||
| שורה 72: | שורה 69: | ||
| − | + | שינויים הושלמו, אז בואו להפעיל מחדש את השירות כדי להיות יעיל : | |
<code> | <code> | ||
| שורה 79: | שורה 76: | ||
| − | + | באפשרותך גם ליישם את ההגבלה על ידי כתובת ה-IP עבור שירות SSH שלך (אם שלך {{Template:Serveur}} זה לא כבר מאחורי חומת אש או iptables את כללי תעשה לא כבר צורך). | |
| − | אנו לכן לאסור התקשרויות SSH לכולם, שם אחרוג ממנהגי עבור כתובות ה-IP שלנו | + | אנו לכן לאסור התקשרויות SSH לכולם, שם אחרוג ממנהגי עבור כתובות ה-IP שלנו : |
<code> | <code> | ||
| שורה 91: | שורה 88: | ||
| − | לפיכך, כתובות ה-IP | + | לפיכך, כתובות ה-IP בלבד ''12.34.56.78'' et ''98.76.54.32'' יורשו להתחבר להצביע {{Template:Serveur}} en SSH (החלף ב המתאים, כתובות IP כמובן). |
| שורה 98: | שורה 95: | ||
[[Category:שרת_ייעודי]] | [[Category:שרת_ייעודי]] | ||
[[Category:לינוקס]] | [[Category:לינוקס]] | ||
| − | |||
<br /> | <br /> | ||
<comments /> | <comments /> | ||
גרסה מ־16:25, 8 בפברואר 2017
מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר כאן.
he:להגביר את האבטחה של SSH
ro:Creşte securitatea SSH
ru:Повысить безопасность SSH
pl:Zwiększenie bezpieczeństwa SSH
ja:SSH のセキュリティを高める
ar:زيادة أمان SSH
zh:提高 SSH 的安全性
de:Erhöhen Sie die Sicherheit von SSH
nl:Verhoging van de veiligheid van SSH
it:Aumentare la sicurezza di SSH
pt:Aumentar a segurança do SSH
es:Aumentar la seguridad de SSH
en:Increase the security of SSH
ברגע זה אפשרי, מומלץ לשנות את ברירת המחדל של מזהי והיציאות ברירת המחדל של שירותים קריטיים.
לגבי SSH, בואו נראה כמה אלמנטים אשר יחזק את האבטחה של שירות זה.
Dans le cadre de la rédaction de cו article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre שרת, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.
כברירת מחדל, להתחבר ב- SSH, עליך ליצור חיבור ביציאה 22. לשנות זאת היציאה יכול כבר להגן עליך מפני התקפות רבות על ידי כוח גס.
Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 בקובץ /etc/ssh/sshd_config.
על מנת להפוך בכוח התקפי פחות יעילים, ניתן לבטל גם את חיבור SSH באמצעות חשבון שורש. זה לכן יש למשתמש אחד חשבון ברירת המחדל ולהמשיך עם העלאת הרשאות מחשבון זה עם זכויות מנהל מערכת.
On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter ב- SSH, il faudra donc ajouter la ligne suivante בקובץ de configuration : AllowUsers ikoula
Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre שרת, la connexion est coupée.
תקופה זו עשוי לעבור תיקון כלפי מטה (בעקבות ההשהיה, יציבותו של החיבור שלך, כמובן).
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime.
Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.
אנחנו נשנה עכשיו את האלגוריתמים בשימוש SSH כדי להגביל את השימוש בחלק על-ידי הוספת שני קווים נוספים בקובץ התצורה של שירות SSH :
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
דביאן כברירת מחדל תמיד מוסיף מחרוזת תווים הבאנר SSH. במילים פשוטות, אם לבצע של telnet כדי שלך שרת (Telnet IP_SERVER 22), כאן הוא מה שאתה מקבל :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
אז בואו לבטל התנהגות זו כדי להציג את השם של התפלגות שלנו כבר לא :
echo "DebianBanner no" >> /etc/ssh/sshd_config
. עכשיו, קדימה :
SSH-2.0-OpenSSH_6.7p1
שינויים הושלמו, אז בואו להפעיל מחדש את השירות כדי להיות יעיל :
systemctl restart ssh.service
באפשרותך גם ליישם את ההגבלה על ידי כתובת ה-IP עבור שירות SSH שלך (אם שלך שרת זה לא כבר מאחורי חומת אש או iptables את כללי תעשה לא כבר צורך).
אנו לכן לאסור התקשרויות SSH לכולם, שם אחרוג ממנהגי עבור כתובות ה-IP שלנו :
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
לפיכך, כתובות ה-IP בלבד 12.34.56.78 et 98.76.54.32 יורשו להתחבר להצביע שרת en SSH (החלף ב המתאים, כתובות IP כמובן).
לחלופין, באפשרותך ליישם אימות על ידי חילופי מפתחות אם תרצו.
הפעלת רענון אוטומטי של התגובות