SSH のセキュリティを高める

ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH fr:Accroître la sécurité de SSH

この記事は、自動翻訳ソフトウェアで行うからです。 記事のソースはここを参照してくださいすることができます。

これは可能ですが、いつでも既定の識別子は、重要なサービスの既定のポートを変更するのには強く推奨します。

SSH について我々 参照してくださいここでこのサービスのセキュリティを強化するいくつかの要素。

この記事の起草のコンテキストで我々 は Debian ジェシー型分布に基づいています。あなたのサーバーをフォロー アップして、構成を変更する必要があります。したがって、お客様のニーズに適応すべきであります。

既定では、SSH で接続する必要があります接続を確立するポートで 22.これを変更するポートは既に野獣のような力によって多くの攻撃を防ぐことができます。

既定以外のポートで SSH を使用する場合は、変更する必要があります ポート 22 ポート 55555 ファイル /c/ssh/sshd_config.

ブルート フォース攻撃を大いにより少なく有効にするためにも、root アカウント経由で SSH 接続を無効にできます。したがって、既定のアカウント以外の 1 人のユーザーがあるし、管理者権限を持つこのアカウントから特権の昇格を続行します。

我々 したがっての関連するオプションを渡す 考えましょうはい à 考えましょう号 接続を許可するユーザーを宣言します。ユーザーを許可する ikoula したがって、SSH で接続する構成ファイルで次の行を追加 : AllowUsers ikoula

2 分を超えて接続情報は、サーバーに SSH 接続中に握られない、接続は切り離されています。 この期間を下方調整可能性があります (もちろん待機時間、接続の安定性を次 ). 30 秒は、十分な可能性があります。この値を変更するパラメーターを変更する、 LoginGraceTime. 我々 は現在の行を変更 LoginGraceTime 120 LoginGraceTime 30 ファイル /etc/ssh/sshd_config.

私たちは今、SSH で SSH サービス構成ファイルの 2 つの追加の行を追加することによっていくつかの使用を制限するために使用するアルゴリズムを変更します :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

既定では debian は常に SSH バナーに文字の文字列を追加します。簡単に言えば、もしあなたのサーバーへの telnet 接続を行う (Telnet なさ 22)、ここであなたが何を得る :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

それではもはや私たちのディストリビューションの名前を表示するこの動作をオフ :

echo "DebianBanner no" >> /etc/ssh/sshd_config

今、これを取得してみましょう :

SSH-2.0-OpenSSH_6.7p1

変更が完了したら、我々 はサービスを再開して変更を有効にする :

systemctl restart ssh.service

SSH サービスの制限事項についても IP アドレスを設定できることに注意 (サーバーが既にファイアウォールの背後にたとえばまたは iptables ルールが既に必要はありません ).

したがって誰もへの SSH 接続を禁止する、IP アドレスの例外を入れて :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

したがって、のみ IP アドレス 12.34.56.78 et 98.76.54.32 投票 SSH サーバーへの接続を許可する (IP アドレスの適切なコースに置き換える ).

また、ご希望の場合は、キーの交換によって認証を実装できます。