Повысить безопасность SSH: различия между версиями

Материал из Ru Ikoula wiki
Jump to navigation Jump to search
 
(не показаны 4 промежуточные версии этого же участника)
Строка 1: Строка 1:
 +
<span data-link_translate_fr_title="Accroître la sécurité de SSH"  data-link_translate_fr_url="Accroître la sécurité de SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]]
 +
<span data-link_translate_en_title="Increase the security of SSH"  data-link_translate_en_url="Increase the security of SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]]
 +
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar la seguridad de SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
 +
<span data-link_translate_pt_title="Aumentar a segurança do SSH"  data-link_translate_pt_url="Aumentar a segurança do SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]]
 +
<span data-link_translate_it_title="Aumentare la sicurezza di SSH"  data-link_translate_it_url="Aumentare la sicurezza di SSH"></span>[[:it:Aumentare la sicurezza di SSH]][[it:Aumentare la sicurezza di SSH]]
 +
<span data-link_translate_nl_title="Verhoging van de veiligheid van SSH"  data-link_translate_nl_url="Verhoging van de veiligheid van SSH"></span>[[:nl:Verhoging van de veiligheid van SSH]][[nl:Verhoging van de veiligheid van SSH]]
 +
<span data-link_translate_de_title="Erhöhen Sie die Sicherheit von SSH"  data-link_translate_de_url="Erhöhen Sie die Sicherheit von SSH"></span>[[:de:Erhöhen Sie die Sicherheit von SSH]][[de:Erhöhen Sie die Sicherheit von SSH]]
 +
<span data-link_translate_zh_title="提高 SSH 的安全性"  data-link_translate_zh_url="提高 SSH 的安全性"></span>[[:zh:提高 SSH 的安全性]][[zh:提高 SSH 的安全性]]
 +
<span data-link_translate_ar_title="زيادة أمان SSH"  data-link_translate_ar_url="زيادة أمان SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]]
 +
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH のセキュリティを高める"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
 +
<span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH"  data-link_translate_pl_url="Zwiększenie bezpieczeństwa SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]]
 +
<span data-link_translate_ru_title="Повысить безопасность SSH"  data-link_translate_ru_url="Повысить безопасность SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]]
 +
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Creşte securitatea SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 +
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="להגביר את האבטחה של SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 +
<br />Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи [[:fr:Accroître la sécurité de SSH|здесь]].<br /><span data-translate="fr"></span><br />
 +
<span data-link_translate_fr_title="Accroître la sécurité de SSH"  data-link_translate_fr_url="Accroître la sécurité de SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]]
 
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 
<span data-link_translate_he_title="להגביר את האבטחה של SSH"  data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]]
 
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 
<span data-link_translate_ro_title="Creşte securitatea SSH"  data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]]
 +
<span data-link_translate_ru_title="Повысить безопасность SSH"  data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]]
 
<span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH"  data-link_translate_pl_url="Zwi%C4%99kszenie+bezpiecze%C5%84stwa+SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]]
 
<span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH"  data-link_translate_pl_url="Zwi%C4%99kszenie+bezpiecze%C5%84stwa+SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]]
 
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
 
<span data-link_translate_ja_title="SSH のセキュリティを高める"  data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]]
Строка 10: Строка 27:
 
<span data-link_translate_pt_title="Aumentar a segurança do SSH"  data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]]
 
<span data-link_translate_pt_title="Aumentar a segurança do SSH"  data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]]
 
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
 
<span data-link_translate_es_title="Aumentar la seguridad de SSH"  data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]]
<span data-link_translate_fr_title="Accroître la sécurité de SSH"  data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]]
+
<span data-link_translate_en_title="Increase the security of SSH"  data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]]
<br />
+
Как только это возможно, рекомендуется изменить по умолчанию порты критически важных служб и идентификаторов по умолчанию.
  
Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи [[:fr:Accroître la sécurité de SSH|здесь]].<br /><span data-translate="fr"></span>
 
  
Всякий раз, когда это возможно, мы настоятельно рекомендуем изменить порты по умолчанию важнейших услуг и идентификаторов по умолчанию.
+
О SSH Давайте посмотрим, некоторые элементы, которые позволят укрепить безопасность этой службы.
  
  
Что касается SSH мы видим здесь несколько элементов, которые будут укреплять безопасность этой службы.
+
Dans le cadre de la rédaction de cи article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre {{Template:Serveur}}, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.
  
  
В контексте подготовки проекта этой статьи мы основаны на тип дистрибутива Debian Джесси. После на вашем сервере, конфигурации может потребоваться изменить. Следует таким образом, адаптировать к вашим потребностям.
+
По умолчанию для подключения в SSH, необходимо установить соединение по порту 22. Изменить этот порт уже защищает вас от многих атак путем грубой силы.
  
 +
Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier ''Port 22'' par ''Port 55555'' в файле ''/etc/ssh/sshd_config''.
  
По умолчанию, для соединения в SSH, необходимо установить подключение на порту  22. Изменить этот порт уже может предотвратить многие атаки грубой силой.
 
  
Если вы хотите использовать SSH на порт по умолчанию, вам нужно будет изменить  ''Порт  22'' от ''Порт  55555'' в файле  ''/и c/ssh/sshd_config''.
+
Для того, чтобы сделать грубой силы нападения менее эффективными, можно также отключить SSH-соединение через учетную запись root. Поэтому будет иметь одного пользователя, отличного от учетной записи по умолчанию и продолжить повышение привилегий от этой учетной записи права администратора.
  
  
Для того, чтобы сделать грубой силы нападения гораздо менее эффективными, можно также отключить SSH-соединение через учетную запись root. Поэтому он будет один пользователь, отличной от учетной записи по умолчанию и приступить к несанкционированное от этой учетной записи с правами администратора.
+
On va donc passer l'option associée de ''PermitRootLogin yes'' à ''PermitRootLogin no'' et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ''ikoula'' à se connecter в SSH, il faudra donc ajouter la ligne suivante в файле de configuration : ''AllowUsers ikoula''
  
  
Поэтому мы передадим связанный параметр  ''PermitRootLogin да '' à ''PermitRootLogin № '' и объявить пользователям разрешено подключаться. Чтобы разрешить пользователю  ''ikoula'' Поэтому подключиться в SSH, добавьте следующую строку в файл конфигурации  : ''AllowUsers ikoula''
+
Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre {{Template:Serveur}}, la connexion est coupée.
 +
Этот период может быть пересмотрен в сторону понижения (После задержки и стабильность вашего соединения, конечно).
 +
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''.
 +
Nous allons donc maintenant modifier la ligne ''LoginGraceTime 120'' par ''LoginGraceTime 30'' dans le fichier ''/etc/ssh/sshd_config''.
  
  
Если за две минуты сведения о соединении не заеданы во время SSH-соединения к вашему серверу, соединение прерывается.
+
Мы теперь будем менять алгоритмы, используемые SSH для ограничения использования к некоторым путем добавления двух дополнительных строк в файл конфигурации службы SSH :
Этот период может быть скорректирована в сторону понижения  (После задержки и стабильность вашего соединения, конечно ).
 
Тридцать секунд может быть достаточно. Чтобы изменить это значение, мы будет изменить параметр  ''LoginGraceTime''.
 
Мы теперь изменить линию  ''LoginGraceTime 120'' от  ''LoginGraceTime 30'' в файле  ''/etc/ssh/sshd_config''.
 
 
 
 
 
Теперь мы изменим алгоритмы, используемые SSH для ограничения использования некоторых, добавив две дополнительные строки в файле конфигурации службы SSH :
 
  
 
<code>
 
<code>
Строка 50: Строка 63:
  
  
Debian по умолчанию всегда добавляет строку символов знаменем SSH. Проще говоря, если вы telnet к вашему серверу  (Telnet IP_SERVER 22), вот что вы получаете :
+
Debian по умолчанию всегда добавляет символьную строку SSH баннер. Проще говоря, если выполнять telnet на ваш {{Template:Serveur}} (Telnet IP_SERVER 22), вот что вы получаете :
  
 
<code>
 
<code>
Строка 57: Строка 70:
  
  
Так что давайте выключить это поведение больше не отображать имя нашего дистрибутива :
+
Так что давайте выключить это поведение для того, чтобы не отображать имя нашего дистрибутива :
  
 
<code>
 
<code>
Строка 64: Строка 77:
  
  
Теперь давайте это :
+
Теперь давайте это :
  
 
<code>
 
<code>
Строка 71: Строка 84:
  
  
Изменения являются полная, мы будет перезапустить службу для того чтобы быть эффективным изменения :
+
Изменения являются полными, так что давайте перезапустить службу для изменения обрабатываемое :
  
 
<code>
 
<code>
Строка 78: Строка 91:
  
  
Обратите внимание, что можно также настроить IP-адрес для вашего ограничения службы SSH (Если ваш сервер не является уже за брандмауэром например или iptables правила уже не нужны ).
+
Можно также реализовать ограничение по IP-адресу для службы SSH (Если ваш {{Template:Serveur}} Это не уже позади брандмауэра или ваши iptables правила еще не необходимых).
  
  
Мы поэтому запретить SSH соединения для всех и положить исключение для нашего IP-адресов :
+
Мы поэтому запретить SSH-соединения к каждому и положить исключение для наших IP-адресов :
  
 
<code>
 
<code>
Строка 90: Строка 103:
  
  
Таким образом, только IP-адреса ''12.34.56.78'' et ''98.76.54.32'' будет разрешено подключаться к серверу SSH голосования  (Замените IP адрес соответствующего курса ).  
+
Таким образом только IP-адреса ''12.34.56.78'' et ''98.76.54.32'' будет разрешено подключаться к голосованию {{Template:Serveur}} en SSH (Замените соответствующие IP адреса конечно).  
  
  
Кроме того если вы хотите можно реализовать путем обмена ключей аутентификации.
+
Кроме того можно реализовать проверку подлинности путем обмена ключами, если вы пожелаете.
  
 
[[Category:Выделенный_сервер]]
 
[[Category:Выделенный_сервер]]
 
[[Category:Linux]]
 
[[Category:Linux]]
 
 
<br />
 
<br />
 
<comments />
 
<comments />

Текущая версия на 10:53, 10 февраля 2017

fr:Accroître la sécurité de SSH en:Increase the security of SSH es:Aumentar la seguridad de SSH pt:Aumentar a segurança do SSH it:Aumentare la sicurezza di SSH nl:Verhoging van de veiligheid van SSH de:Erhöhen Sie die Sicherheit von SSH zh:提高 SSH 的安全性 ar:زيادة أمان SSH ja:SSH のセキュリティを高める pl:Zwiększenie bezpieczeństwa SSH ru:Повысить безопасность SSH ro:Creşte securitatea SSH he:להגביר את האבטחה של SSH
Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи здесь.

fr:Accroître la sécurité de SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Как только это возможно, рекомендуется изменить по умолчанию порты критически важных служб и идентификаторов по умолчанию.


О SSH Давайте посмотрим, некоторые элементы, которые позволят укрепить безопасность этой службы.


Dans le cadre de la rédaction de cи article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Сервер, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.


По умолчанию для подключения в SSH, необходимо установить соединение по порту 22. Изменить этот порт уже защищает вас от многих атак путем грубой силы.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 в файле /etc/ssh/sshd_config.


Для того, чтобы сделать грубой силы нападения менее эффективными, можно также отключить SSH-соединение через учетную запись root. Поэтому будет иметь одного пользователя, отличного от учетной записи по умолчанию и продолжить повышение привилегий от этой учетной записи права администратора.


On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter в SSH, il faudra donc ajouter la ligne suivante в файле de configuration : AllowUsers ikoula


Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Сервер, la connexion est coupée. Этот период может быть пересмотрен в сторону понижения (После задержки и стабильность вашего соединения, конечно). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.


Мы теперь будем менять алгоритмы, используемые SSH для ограничения использования к некоторым путем добавления двух дополнительных строк в файл конфигурации службы SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config


Debian по умолчанию всегда добавляет символьную строку SSH баннер. Проще говоря, если выполнять telnet на ваш Сервер (Telnet IP_SERVER 22), вот что вы получаете :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2


Так что давайте выключить это поведение для того, чтобы не отображать имя нашего дистрибутива :

echo "DebianBanner no" >> /etc/ssh/sshd_config


Теперь давайте это :

SSH-2.0-OpenSSH_6.7p1


Изменения являются полными, так что давайте перезапустить службу для изменения обрабатываемое :

systemctl restart ssh.service


Можно также реализовать ограничение по IP-адресу для службы SSH (Если ваш Сервер Это не уже позади брандмауэра или ваши iptables правила еще не необходимых).


Мы поэтому запретить SSH-соединения к каждому и положить исключение для наших IP-адресов :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow


Таким образом только IP-адреса 12.34.56.78 et 98.76.54.32 будет разрешено подключаться к голосованию Сервер en SSH (Замените соответствующие IP адреса конечно).


Кроме того можно реализовать проверку подлинности путем обмена ключами, если вы пожелаете.


Вы не можете оставлять комментарии.

Источник — https://ru-wiki.ikoula.com/index.php?title=Повысить_безопасность_SSH&oldid=9557