Verhoging van de veiligheid van SSH

Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.

fr:Accroître la sécurité de SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Zodra dit mogelijk is, wordt aangeraden om de standaard-id en de standaardpoorten voor kritieke diensten te wijzigen.

Over SSH, laten we eens kijken sommige elementen die de veiligheid van deze dienst zal versterken.

Dans le cadre de la rédaction de cen article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Server, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.

Standaard, om aan te sluiten in SSH, moet u een verbinding maken op poort 22. Dit wijzigen poort kan al je beschermen tegen vele aanvallen door brute kracht.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 in het bestand /etc/ssh/sshd_config.

U kunt ook SSH-verbinding via het root-account uitschakelen om brute-force aanvallen minder doeltreffend. Het zal daarom een gebruiker dan de standaardaccount hebt en doorgaan met een hoogte van voorrechten van deze account beheerdersrechten zijn gedefinieerd.

On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter in SSH, il faudra donc ajouter la ligne suivante in het bestand de configuration : AllowUsers ikoula

Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Server, la connexion est coupée. Deze periode kan naar beneden worden herzien (na de latentie en de stabiliteit van de verbinding, natuurlijk). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.

Wij zullen nu veranderen de algoritmen die worden gebruikt door SSH te beperken gebruik van enkele door toevoeging van twee extra lijnen in de configuratiebestand van de SSH-service :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian standaard wordt altijd een tekenreeks toegevoegd aan de SSH-banner. Om het te zetten eenvoudig, als u een telnet naar uitvoeren uw Server (Telnet-IP_SERVER 22), hier is wat je krijgt :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Dus laten we dit gedrag uitschakelen om de naam van onze distributie niet langer weergeven :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Nu, laten we dit :

SSH-2.0-OpenSSH_6.7p1

Wijzigingen zijn voltooid, dus laten we het herstarten van de dienst voor de wijzigingen effectief :

systemctl restart ssh.service

U kunt de beperking ook door IP-adres voor uw SSH-service implementeren (Als uw Server al achter een firewall bijvoorbeeld of uw iptables is regels niet niet al de nodige).

We zullen daarom verbieden SSH verbindingen voor iedereen en een uitzondering voor onze IP-adressen :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Dus adressen alleen de IP- 12.34.56.78 et 98.76.54.32 zal worden toegestaan om te verbinden om te stemmen Server en SSH (Vervangen met het juiste IP-adressen natuurlijk).

Alternatief, kunt u verificatie door middel van uitwisseling van sleutels implementeren als u wenst.