その Debian マシンを確保

提供: Japanese Ikoula Wiki
Jump to navigation Jump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

de: ja:その Debian マシンを確保 he:אבטחת הרכב דביאן שלה ro:Asigurarea sa maşină de Debian ru:Обеспечение его машины под управлением Debian pl:Zabezpieczanie swojej maszynie Debiana ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

この記事は、自動翻訳ソフトウェアで行うからです。 記事のソースはここを参照してくださいすることができます。

<No. trad>




はじめに

彼のマシンの安全性は様々 な攻撃のターゲットになっている罰則規定ない過小評価すべき重要なポイントを確認します。ブルート フォース攻撃の手法として侵入を作って今日のコンピューターの現在の電源または bruteforce 非常に簡単に短時間マシンでターゲットへの管理者アクセスを得るために実装します。
このページでは、ルート アカウントなどの別のポイントの Debian サーバを安全に、SSH アクセス、ファイアウォール等するためにトラックの非包括的なリストが見つかります.


'警告 ': 常にあなたのシステムに変更を加える前に不適切な処理が発生した場合、ファイルのバックアップを計画します。

運用サーバーで必ずあなたの行動の影響を最小限に抑えるためのオフピーク時間中にこれらの操作を実行してください。

前提条件

彼のサーバーのセキュリティに不可欠な前提条件の 1 つは、最新できるだけバージョンにそのパッケージを維持するためにです。検出された欠陥のかなりの数を迅速にパッケージと関連するどこに可能なが更新する体制を常に保持する必要がありますアプリケーションの開発者によって修正、セキュリティ上の欠陥を避けるため。

あなたの Debian システムを最新に保つには、更新する公式のリポジトリのリストがある場合を確認します。Ikoula リポジトリおよびインストール手順で使用可能なのリストを見つけることができます

.

Root アクセス

アカウントからの接続を許可する このアドレスでルート 後の最初の使用は一般的に良いアイデアです。確かにアカウント ルート ou スーパーユーザ お使いのシステムへのフル アクセスがあります。攻撃者は、アカウントへのアクセスを得るためになる場合
スーパーユーザ それはあなたのマシンの総制御を有する。

コマンド 須藤

権利を取得、必要に応じてユーザーを追加することができます、たとえば、リスクを軽減できるように弊社 スーパーユーザ コマンドを使用して sudo.

我々 はまず新しいユーザーを作成する必要があります

次に、フィールドとして好ましく行われる小文字、大文字、数字のパスワードを入力します。

我々 は、sudo をインストール
 adduser votre_utilisateur
コマンドを使用するユーザを sudo グループにする必要があります当社のユーザーを作成し、sudo をインストール
 apt-get install sudo

今我々 のユーザーが、必要に応じて、コマンドの前に sudo 実行するのアクセス許可を持つ 

 usermod -a -G sudo votre_utilisateur

スーパーユーザ .

任意のコマンドを実行する前に、パスワードを求められます。

Root ログインを禁止する

今我々 は、別のユーザーを持っていることたとえば口座から当社のシステムへの接続を防ぐ我々 

 sudo cat /etc/password

root.

最初の構成を編集する必要があります、ssh サービスのファイル


検索し、変更することによってあなたの sshd_config ファイルに次の行を編集、 
  vi /etc/ssh/sshd_config
はい no.シンボルを削除することによって行のコメントを解除するために必要 #.

覚えているし、保存して、構成ファイルを閉じます。

  PermitRootLogin no
SSH サービスを再起動する場合、変更内容は有効になります。


 /etc/init.d/ssh restart


'理事会 ': 常において SSH root としてターミナル テストの期間をお勧めします。確かに流用不可能なシステムへの接続になります。

接続をテストするために第 2 ターミナルのオープンと新しいユーザーの変更の使用をお勧めしたがって。

SSH アクセス

ソリューションのおかげで以前当社のシステムがすでに保護されているが、我々 はまだ認証キー ファイルを実装することによってこのセキュリティを高めることができます。

通常接続とあなたのシステムの認証を実行してログインのペアを介して /パスワードです。我々 は、このメソッドはキーの認証が絶対ではないを置き換えることができます。
各接続システムで変更の実装観れる、接続を試みるユーザーが有効なキーを持つかどうか、これは、このユーザーのログインを実行するアクセス許可を持っている場合。
確実な方法は無い認証キー ファイルこのファイルがあるシステムに取得したい人が必要です。だから、推測することができますパスワードとセキュリティを強化する
ブルート フォース ' しかし、いくつかの欠点が存在このメソッドを選択すると、たとえば職場と自宅のコンピューター間の接続の場所に関係なくキー ファイルがあることが不可欠です。
また、システムに新しいユーザーまたはアクセス権限を有する者を追加するなどのケースでは、システムへのアクセスを許可する各の新しいキー ファイルを手動で追加する必要があります。

既定のポートを変更する

自動テスト サーバーに対して起動を停止する最も効果的な方法の 1 つは、あなたのマシン上のデフォルトの SSH ポートを変更です。 行うにこれは、ファイルを編集
'sshd_config

見つけるし、1 つの選択によって値を変更して、ファイルの次の行を編集
 vi /etc/ssh/sshd_config
SSH サービスを再起動
# What ports, IPs and protocols we listen for
Port 22

 /etc/init.d/ssh restart
'注 ': 接続するコンピューターが新しいポートの SSH に指定する : SSH ユーザー @Ip アドレス -p Votre_port

キー ペアを生成

Windows


Windows の PuTTYgen ソフトウェアからあなたのキーを生成できます。

PuTTYgen sous Windows

Linux

Linux の下で次のコマンドを入力することができます :

キー ペアをコピー

ペアが生成されたとき何が私たちの新しいユーザーに接続する権限のある方サーバー今を示す必要があります.

これを行うに私たちのシステムの各ユーザーはファイル 

 ssh-keygen

'ssh/authorized_keys ローカルのディレクトリ内に存在します。

あなたの Debian システムのキー ペアを生成する現在場合は、自動的にファイルにキーをコピーするのには次のコマンドを使用できます。

認められた者ファイルに公開キーを手動で追加する代わりに

.Ssh フォルダーがユーザーのローカル フォルダーに存在しない場合、我々 はそれを作成 

 ssh-copy-id votre_utilisateur@IP_VotreServeur
ファイルを作成する必要があります 
mkdir .ssh
chmod 700 .ssh
'authorized_keys .ssh フォルダーに

結果この例ようになります公開キーは、ファイルに追加 |! _。 それは保存してファイルを閉じます。
 vi .ssh/authorized_keys

セキュリティ上の理由から、我々 は我々 のファイルへのアクセスを制限

今から私たちのユーザーがマシンに接続できます。
 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

ファイアウォール


ファイアウォールを使用して、あなたのシステムを保護する強くお勧めします。

ファイアウォールは外に対してコンピューターの防衛の最初の行ではしばしば、それは確かにあなたのマシンと外部との間を通過するトラフィックを分析する人。

 chmod 600 .ssh/authorized_keys

ファイアウォールのおかげであなたがお使いのシステムのセキュリティを確保するブロックまたは特定のプロトコルやポートに外部からコンピューター アクセスを許可することができます。
セキュリティ ポリシー

ファイアウォールの場合は、実装するセキュリティ ポリシーを定義する必要です。効果的な定義ブロックの選択またはポートとプロトコルの許可なければかなりランダムです。

したがって、事前にそのコンピューターのネットワークまたは自分のコンピューターのセキュリティのための明確なポリシーを定義する必要は。
一般的に使用されるさまざまなポリシーのポリシーが含まれる

ホワイト リスト
'・ デ ・ ブラック リスト ホワイト リスト .

政策の原則、

ホワイト リスト 例外なしに入ってくるすべてのトラフィックをブロックし、ポートと確実にその安全性のあるプロトコルのみを明示的に許可することです。 このセキュリティ ポリシーと比較して多くの利点があります、 ブラック リスト .確かにすべてのトラフィックを明示的に許可になります、これはほとんどの接続試行はない必ずしも持ちを確保する反射を防ぐ。この方針の欠点の 1 つは各ポートまたは当社のサービスの実行をブロックしないこと使用されるプロトコルを定義することの義務 たとえば、プロトコル ( ポート
http マシンによって使用される各ポートを知っているですから、追加またはサービスを削除するときの規則を維持します。 80 )ほとんどのすべてを承認するように危険は考慮されない場合送信に関しては、確かにあなたになっているマシンやネットワーク トラフィックを知っています。ただし、送信セキュリティをトレースすることをお勧めします。 ブラック リスト

政策の原則、

ブラック リスト 例外なくすべての着信トラフィックを許可するように、明示的にポートのみをブロックして、プロトコル、彼らはセキュリティ リスクをもたらすことを確認しております。 このセキュリティ ポリシーと比較すると多くの欠点があります、 ホワイト リスト
'.確かに任意の制限なしに入ってくるすべてのトラフィックは推奨されません、ポートまたはプロトコルが明示的に設定されて場合にのみ関与しているブロックを許可します。ほとんどのすべてを承認するように危険は考慮されない場合送信に関しては、確かにあなたになっているマシンやネットワーク トラフィックを知っています。ただし、送信セキュリティをトレースすることをお勧めします。 IPTables は確かに最も有名なソフトウェアのファイアウォールを利用可能な Debian のため。

IPTables

ここでは、いくつかの実用的なコマンドに関する

Iptables のインストール :

現在確立されたルール一覧

確立された規則をパージ
 sudo apt-get install iptables
ルールを追加
 sudo iptables -L

sudo iptables -F
sudo iptables -X

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
'注意動的 IP アドレスの場合あなたの ip アドレスが変更されますと、できないこと、サーバー上に SSH ログインする ': できる例えば、あなたのインターネットの家庭でボックス ダイナミック IP アドレスを割り当てるときは、注意を使用します。!

ルールを削除します。

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2




あなたにはコメントを投稿する権限がありません。

https://ja-wiki.ikoula.com/index.php?title=その_Debian_マシンを確保&oldid=10480」から取得