SSH のセキュリティを高める

提供: Japanese Ikoula Wiki
2017年2月8日 (水) 16:25時点におけるIkbot (トーク | 投稿記録)による版
Jump to navigation Jump to search


この記事は、自動翻訳ソフトウェアで行うからです。 記事のソースはここを参照してくださいすることができます。

he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH これは可能ですが、一度は、デフォルトの識別子は、重要なサービスの既定のポートを変更することをお勧めします。


SSH についてこのサービスのセキュリティを強化するいくつかの要素を見てみましょう。


Dans le cadre de la rédaction de cそして article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre サーバー, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.


既定では、SSH で接続する必要があります接続を確立するポートで 22.これを変更するポートすでにから保護できる多くの攻撃ブルートフォースで。

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 ファイルに /etc/ssh/sshd_config.


以下の効果的なブルート フォース攻撃を作るためにも、root アカウント経由で SSH 接続を無効にできます。したがって、既定のアカウント以外の 1 人のユーザーがあるし、管理者権限を持つこのアカウントから特権の昇格を続行します。


On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter SSH で, il faudra donc ajouter la ligne suivante ファイルに de configuration : AllowUsers ikoula


Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre サーバー, la connexion est coupée. この期間を下方修正する可能性があります。 (もちろん待機時間、接続の安定性を次). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.


我々 は今 SSH で SSH サービス構成ファイルの 2 つの追加の行を追加することによっていくつかの使用を制限するために使用するアルゴリズムを変更します。 :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config


既定では debian は常に SSH バナーに文字の文字列を追加します。簡単に言えば場合に、telnet を実行、 サーバー (Telnet なさ 22)、ここであなたが何を得る :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2


それではもはや私たちのディストリビューションの名前を表示するためにこの動作をオフに :

echo "DebianBanner no" >> /etc/ssh/sshd_config


今、これを取得してみましょう :

SSH-2.0-OpenSSH_6.7p1


変更が完了したら、それではサービスを再開して変更を有効にします。 :

systemctl restart ssh.service


SSH サービスの IP アドレスによる制限を実装することも (場合は、 サーバー 既に例またはあなたの iptables のファイアウォールの背後にあるルールをしないされていない必要な).


したがって誰もへの SSH 接続を禁止する、IP アドレスの例外を置く :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow


したがって、のみ IP アドレスします。 12.34.56.78 et 98.76.54.32 投票への接続を許可します。 サーバー en SSH (もちろん適切な IP アドレスを置き換える).


また、ご希望の場合は、キーの交換による認証を実装できます。


あなたにはコメントを投稿する権限がありません。

https://ja-wiki.ikoula.com/index.php?title=SSH_のセキュリティを高める&oldid=9685」から取得