Verhoging van de veiligheid van SSH: verschil tussen versies
(Nieuwe pagina aangemaakt met '<br /> Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.<b...') |
|||
| Regel 1: | Regel 1: | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
<br /> | <br /> | ||
Versie van 7 jun 2016 17:52
fr:Accroître la sécurité de SSH
Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.
Wanneer dit mogelijk is, sterk aangeraden om de standaard-id en de standaardpoorten voor kritieke diensten te wijzigen.
Men betrekking tot SSH zien we hier een paar elementen die de veiligheid van deze dienst zal versterken.
In het kader van de opstelling van dit artikel, zijn wij gevestigd op een type distributie Debian Jessie. In aansluiting op uw server, wellicht de configuratie wijzigen. Daarom moeten, aanpassen aan uw behoeften.
Standaard, om aan te sluiten in SSH, u moet een verbinding maken op poort 22. Dit wijzigen poort kan al veel aanvallen voorkomen door brute kracht.
Als u wilt dat SSH te gebruiken op een andere poort dan de standaard, zal u wilt wijzigen Poort 22 door Poort 55555 in het bestand /etc/ssh/sshd_config.
U kunt ook SSH-verbinding via het root-account uitschakelen om brute-force aanvallen veel minder effectief. Het zal daarom een gebruiker dan de standaardaccount hebt en overgaan tot tot misbruik van bevoegdheden van deze account beheerdersrechten zijn gedefinieerd.
Dan zullen we daarom de bijbehorende optie van doorgeven PermitRootLogin ja à PermitRootLogin No. en verklaren van de gebruikers die verbinding mogen maken. Toestaan dat de gebruiker ikoula dus om te sluiten in SSH, voeg de volgende regel in het configuratiebestand : AllowUsers ikoula
Als na twee minuten de verbindingsgegevens niet in beslag tijdens een SSH-verbinding met uw server genomen zijn, is de verbinding wegvalt.
Deze periode kan worden aangepast naar beneden (na de latentie en de stabiliteit van de verbinding, natuurlijk ).
Dertig seconden kan volstaan. Deze waarde wilt wijzigen, zullen we de door ameter wijzigen LoginGraceTime.
We passen nu de regel LoginGraceTime 120 par LoginGraceTime 30 in het bestand /etc/ssh/sshd_config.
Wij zullen nu de algoritmen die worden gebruikt door SSH te beperken gebruik van enkele door toevoeging van twee extra lijnen in de configuratiebestand van de SSH-service wijzigen :
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
Debian standaard wordt altijd een tekenreeks toegevoegd aan de SSH-banner. Om het te zetten eenvoudig, als jij een telnet naar uw server (Telnet IP_SERVER 22), hier is wat je krijgt :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
Dus laten we dit probleem naar uitschakelen niet meer weergegeven op de naam van onze distributie :
echo "DebianBanner no" >> /etc/ssh/sshd_config
Nu, laten we dit :
SSH-2.0-OpenSSH_6.7p1
De wijzigingen zijn voltooid, we zullen het herstarten van de dienst voor de wijzigingen effectief :
systemctl restart ssh.service
Merk op dat u ook het IP-adres voor uw SSH servicebeperkingen instellen kunt (Als uw server nog niet achter een firewall bijvoorbeeld of uw iptables regels niet al hoeft ).
We zullen daarom verbieden SSH verbindingen voor iedereen en een uitzondering voor onze IP-adressen :
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
Dus alleen de IP-adressen 12.34.56.78 et 98.76.54.32 verbinding maken met stemming SSH server mogen (Vervangen door het IP-adres passende gedragslijn ).
Alternatief, kunt u verificatie implementeren door de uitwisseling van sleutels, indien gewenst.
Automatisch bijwerken van reacties inschakelen