Повысить безопасность SSH

fr:Accroître la sécurité de SSH

Эта статья является результатом автоматического перевода, выполняемого программного обеспечения. Вы можете посмотреть исходный статьи здесь.

Всякий раз, когда это возможно, мы настоятельно рекомендуем изменить порты по умолчанию важнейших услуг и идентификаторов по умолчанию.

Что касается SSH мы видим здесь несколько элементов, которые будут укреплять безопасность этой службы.

В контексте подготовки проекта этой статьи мы основаны на тип дистрибутива Debian Джесси. После на вашем сервере, конфигурации может потребоваться изменить. Следует таким образом, адаптировать к вашим потребностям.

По умолчанию, для соединения в SSH, необходимо установить подключение на порту 22. Изменить этот порт уже может предотвратить многие атаки грубой силой.

Если вы хотите использовать SSH на порт по умолчанию, вам нужно будет изменить Порт 22 от Порт 55555 в файле /и c/ssh/sshd_config.

Для того, чтобы сделать грубой силы нападения гораздо менее эффективными, можно также отключить SSH-соединение через учетную запись root. Поэтому он будет один пользователь, отличной от учетной записи по умолчанию и приступить к несанкционированное от этой учетной записи с правами администратора.

Поэтому мы передадим связанный параметр PermitRootLogin да à PermitRootLogin № и объявить пользователям разрешено подключаться. Чтобы разрешить пользователю ikoula Поэтому подключиться в SSH, добавьте следующую строку в файл конфигурации : AllowUsers ikoula

Если за две минуты сведения о соединении не заеданы во время SSH-соединения к вашему серверу, соединение прерывается. Этот период может быть скорректирована в сторону понижения (После задержки и стабильность вашего соединения, конечно ). Тридцать секунд может быть достаточно. Чтобы изменить это значение, мы будет изменить параметр LoginGraceTime. Мы теперь изменить линию LoginGraceTime 120 от LoginGraceTime 30 в файле /etc/ssh/sshd_config.

Теперь мы изменим алгоритмы, используемые SSH для ограничения использования некоторых, добавив две дополнительные строки в файле конфигурации службы SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian по умолчанию всегда добавляет строку символов знаменем SSH. Проще говоря, если вы telnet к вашему серверу (Telnet IP_SERVER 22), вот что вы получаете :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Так что давайте выключить это поведение больше не отображать имя нашего дистрибутива :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Теперь давайте это :

SSH-2.0-OpenSSH_6.7p1

Изменения являются полная, мы будет перезапустить службу для того чтобы быть эффективным изменения :

systemctl restart ssh.service

Обратите внимание, что можно также настроить IP-адрес для вашего ограничения службы SSH (Если ваш сервер не является уже за брандмауэром например или iptables правила уже не нужны ).

Мы поэтому запретить SSH соединения для всех и положить исключение для нашего IP-адресов :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Таким образом, только IP-адреса 12.34.56.78 et 98.76.54.32 будет разрешено подключаться к серверу SSH голосования (Замените IP адрес соответствующего курса ).

Кроме того если вы хотите можно реализовать путем обмена ключей аутентификации.