「その Debian マシンを確保」の版間の差分
| 1行目: | 1行目: | ||
| + | <span data-link_translate_ru_title="Обеспечение его машины под управлением Debian" data-link_translate_ru_url="%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B5%D0%B3%D0%BE+%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B+%D0%BF%D0%BE%D0%B4+%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+Debian"></span>[[:ru:Обеспечение его машины под управлением Debian]][[ru:Обеспечение его машины под управлением Debian]] | ||
<span data-link_translate_pl_title="Zabezpieczanie swojej maszynie Debiana" data-link_translate_pl_url="Zabezpieczanie+swojej+maszynie+Debiana"></span>[[:pl:Zabezpieczanie swojej maszynie Debiana]][[pl:Zabezpieczanie swojej maszynie Debiana]] | <span data-link_translate_pl_title="Zabezpieczanie swojej maszynie Debiana" data-link_translate_pl_url="Zabezpieczanie+swojej+maszynie+Debiana"></span>[[:pl:Zabezpieczanie swojej maszynie Debiana]][[pl:Zabezpieczanie swojej maszynie Debiana]] | ||
<span data-link_translate_ar_title="تأمين جهاز به دبيان" data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]] | <span data-link_translate_ar_title="تأمين جهاز به دبيان" data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]] | ||
2015年12月7日 (月) 23:19時点における版
ru:Обеспечение его машины под управлением Debian
pl:Zabezpieczanie swojej maszynie Debiana
ar:تأمين جهاز به دبيان
zh:确保其 Debian 的机器
nl:Beveiligen zijn Debian machine
it:Protezione relativa macchina Debian
pt:Protegendo sua máquina Debian
es:Su máquina Debian
en:Securing its Debian machine
fr:Sécuriser sa machine Debian
この記事は、自動翻訳ソフトウェアで行うからです。 記事のソースはここを参照してくださいすることができます。
<No. trad>
はじめに
彼のマシンの安全性は様々 な攻撃のターゲットになっている罰則規定ない過小評価すべき重要なポイントを確認します。ブルート フォース攻撃の手法として侵入を作って今日のコンピューターの現在の電源または bruteforce 非常に簡単に短時間マシンでターゲットへの管理者アクセスを得るために実装します。
このページでは、ルート アカウントなどの別のポイントの Debian サーバを安全に、SSH アクセス、ファイアウォール等するためにトラックの非包括的なリストが見つかります.
運用サーバーで必ずあなたの行動の影響を最小限に抑えるためのオフピーク時間中にこれらの操作を実行してください。
前提条件
彼のサーバーのセキュリティに不可欠な前提条件の 1 つは、最新できるだけバージョンにそのパッケージを維持するためにです。検出された欠陥のかなりの数を迅速にパッケージと関連するどこに可能なが更新する体制を常に保持する必要がありますアプリケーションの開発者によって修正、セキュリティ上の欠陥を避けるため。
あなたの Debian システムを最新に保つには、更新する公式のリポジトリのリストがある場合を確認します。Ikoula リポジトリおよびインストール手順で使用可能なのリストを見つけることができます.
Root アクセス
アカウントからの接続を許可する このアドレスでルート 後の最初の使用は一般的に良いアイデアです。確かにアカウント ルート ou スーパーユーザ お使いのシステムへのフル アクセスがあります。攻撃者は、アカウントへのアクセスを得るためになる場合
スーパーユーザ それはあなたのマシンの総制御を有する。
コマンド 須藤
権利を取得、必要に応じてユーザーを追加することができます、たとえば、リスクを軽減できるように弊社 スーパーユーザ コマンドを使用して sudo.
- 我々 はまず新しいユーザーを作成する必要があります
次に、フィールドとして好ましく行われる小文字、大文字、数字のパスワードを入力します。
- 我々 は、sudo をインストール
adduser votre_utilisateur
- コマンドを使用するユーザを sudo グループにする必要があります当社のユーザーを作成し、sudo をインストール
apt-get install sudo
今我々 のユーザーが、必要に応じて、コマンドの前に sudo 実行するのアクセス許可を持つ
usermod -a -G sudo votre_utilisateur
スーパーユーザ .
任意のコマンドを実行する前に、パスワードを求められます。
Root ログインを禁止する
今我々 は、別のユーザーを持っていることたとえば口座から当社のシステムへの接続を防ぐ我々
sudo cat /etc/password
root.
- 最初の構成を編集する必要があります、ssh サービスのファイル
- 検索し、変更することによってあなたの sshd_config ファイルに次の行を編集、 はい no.シンボルを削除することによって行のコメントを解除するために必要 #.
vi /etc/ssh/sshd_config
覚えているし、保存して、構成ファイルを閉じます。
PermitRootLogin no
- SSH サービスを再起動する場合、変更内容は有効になります。
/etc/init.d/ssh restart
接続をテストするために第 2 ターミナルのオープンと新しいユーザーの変更の使用をお勧めしたがって。
SSH アクセス
ソリューションのおかげで以前当社のシステムがすでに保護されているが、我々 はまだ認証キー ファイルを実装することによってこのセキュリティを高めることができます。通常接続とあなたのシステムの認証を実行してログインのペアを介して /パスワードです。我々 は、このメソッドはキーの認証が絶対ではないを置き換えることができます。
各接続システムで変更の実装観れる、接続を試みるユーザーが有効なキーを持つかどうか、これは、このユーザーのログインを実行するアクセス許可を持っている場合。
確実な方法は無い認証キー ファイルこのファイルがあるシステムに取得したい人が必要です。だから、推測することができますパスワードとセキュリティを強化する
ブルート フォース '
しかし、いくつかの欠点が存在このメソッドを選択すると、たとえば職場と自宅のコンピューター間の接続の場所に関係なくキー ファイルがあることが不可欠です。
また、システムに新しいユーザーまたはアクセス権限を有する者を追加するなどのケースでは、システムへのアクセスを許可する各の新しいキー ファイルを手動で追加する必要があります。
既定のポートを変更する
自動テスト サーバーに対して起動を停止する最も効果的な方法の 1 つは、あなたのマシン上のデフォルトの SSH ポートを変更です。
行うにこれは、ファイルを編集
'sshd_config
- 見つけるし、1 つの選択によって値を変更して、ファイルの次の行を編集
vi /etc/ssh/sshd_config
- SSH サービスを再起動
# What ports, IPs and protocols we listen for
Port 22
/etc/init.d/ssh restart
キー ペアを生成
Windows
Windows の PuTTYgen ソフトウェアからあなたのキーを生成できます。
Linux
Linux の下で次のコマンドを入力することができます :
キー ペアをコピー
ペアが生成されたとき何が私たちの新しいユーザーに接続する権限のある方サーバー今を示す必要があります.
これを行うに私たちのシステムの各ユーザーはファイル
ssh-keygen
'ssh/authorized_keys ローカルのディレクトリ内に存在します。
- あなたの Debian システムのキー ペアを生成する現在場合は、自動的にファイルにキーをコピーするのには次のコマンドを使用できます。
- 認められた者ファイルに公開キーを手動で追加する代わりに
.Ssh フォルダーがユーザーのローカル フォルダーに存在しない場合、我々 はそれを作成
ssh-copy-id votre_utilisateur@IP_VotreServeur
- ファイルを作成する必要があります 'authorized_keys .ssh フォルダーに
mkdir .ssh chmod 700 .ssh
- 結果この例ようになります公開キーは、ファイルに追加 |! _。 それは保存してファイルを閉じます。
vi .ssh/authorized_keys
セキュリティ上の理由から、我々 は我々 のファイルへのアクセスを制限
- 今から私たちのユーザーがマシンに接続できます。
ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale
ファイアウォール
ファイアウォールを使用して、あなたのシステムを保護する強くお勧めします。
ファイアウォールは外に対してコンピューターの防衛の最初の行ではしばしば、それは確かにあなたのマシンと外部との間を通過するトラフィックを分析する人。
chmod 600 .ssh/authorized_keys
ファイアウォールのおかげであなたがお使いのシステムのセキュリティを確保するブロックまたは特定のプロトコルやポートに外部からコンピューター アクセスを許可することができます。
セキュリティ ポリシー
ファイアウォールの場合は、実装するセキュリティ ポリシーを定義する必要です。効果的な定義ブロックの選択またはポートとプロトコルの許可なければかなりランダムです。
したがって、事前にそのコンピューターのネットワークまたは自分のコンピューターのセキュリティのための明確なポリシーを定義する必要は。
一般的に使用されるさまざまなポリシーのポリシーが含まれる
ホワイト リスト
'・ デ ・ ブラック リスト ホワイト リスト .
政策の原則、
ホワイト リスト 例外なしに入ってくるすべてのトラフィックをブロックし、ポートと確実にその安全性のあるプロトコルのみを明示的に許可することです。 このセキュリティ ポリシーと比較して多くの利点があります、
ブラック リスト .確かにすべてのトラフィックを明示的に許可になります、これはほとんどの接続試行はない必ずしも持ちを確保する反射を防ぐ。この方針の欠点の 1 つは各ポートまたは当社のサービスの実行をブロックしないこと使用されるプロトコルを定義することの義務
たとえば、プロトコル ( ポート
http マシンによって使用される各ポートを知っているですから、追加またはサービスを削除するときの規則を維持します。 80 )ほとんどのすべてを承認するように危険は考慮されない場合送信に関しては、確かにあなたになっているマシンやネットワーク トラフィックを知っています。ただし、送信セキュリティをトレースすることをお勧めします。
ブラック リスト
政策の原則、
ブラック リスト 例外なくすべての着信トラフィックを許可するように、明示的にポートのみをブロックして、プロトコル、彼らはセキュリティ リスクをもたらすことを確認しております。 このセキュリティ ポリシーと比較すると多くの欠点があります、
ホワイト リスト
'.確かに任意の制限なしに入ってくるすべてのトラフィックは推奨されません、ポートまたはプロトコルが明示的に設定されて場合にのみ関与しているブロックを許可します。ほとんどのすべてを承認するように危険は考慮されない場合送信に関しては、確かにあなたになっているマシンやネットワーク トラフィックを知っています。ただし、送信セキュリティをトレースすることをお勧めします。
IPTables は確かに最も有名なソフトウェアのファイアウォールを利用可能な Debian のため。
IPTables
ここでは、いくつかの実用的なコマンドに関する
Iptables のインストール :
- 現在確立されたルール一覧
- 確立された規則をパージ
sudo apt-get install iptables
- ルールを追加
sudo iptables -L
- 注
sudo iptables -F
sudo iptables -X
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
ルールを削除します。
# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2
コメントの自動更新を有効化