Erhöhen Sie die Sicherheit von SSH

Dieser Artikel wurde maschinell übersetzt. Sie können den Artikel Quelle hier ansehen.

fr:Accroître la sécurité de SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH Sobald dies möglich ist, empfiehlt es sich, die Default-Identifier und die Standard-Ports kritischer Dienste ändern.

Über SSH Mal sehen, einige Elemente, die die Sicherheit dieses Dienstes stärken werden.

Dans le cadre de la rédaction de cund article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Server, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.

Standardmäßig müssen um in SSH verbinden Sie eine Verbindung auf Port herstellen 22. Ändern Sie diese Port können Sie bereits vor vielen Angriffen schützen durch Brute-Force.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 in der Datei /etc/ssh/sshd_config.

Um Brute-Force-Attacken weniger effektiv zu gestalten, können Sie auch SSH-Verbindung durch den Root-Account deaktivieren. Es wird daher haben einen Benutzer als das Standardkonto und fahren Sie mit einer Rechteerweiterung von diesem Konto Administratorrechte.

On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter in SSH, il faudra donc ajouter la ligne suivante in der Datei de configuration : AllowUsers ikoula

Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Server, la connexion est coupée. Diese Frist kann nach unten revidiert werden (nach der Wartezeit und die Stabilität Ihrer Verbindung natürlich). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.

Die Algorithmen von SSH verwendet, um die Verwendung einiger durch Hinzufügen von zwei zusätzliche Zeilen in der Konfigurationsdatei des SSH-Dienst beschränken, werden wir jetzt ändern. :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian standardmäßig fügt immer eine Zeichenfolge an die SSH-Banner. Um es einfach auszudrücken, wenn führen Sie eine Telnet auf Ihre Server (Telnet IP_SERVER 22), hier ist was Sie erhalten :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Also lasst uns dieses Verhalten deaktivieren, um den Namen unserer Distribution werden nicht mehr angezeigt :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Nun, lassen Sie uns diese :

SSH-2.0-OpenSSH_6.7p1

Die Änderungen sind abgeschlossen, also lasst uns den Dienst für die Änderungen wirksam werden neu starten :

systemctl restart ssh.service

Sie können auch die Einschränkung von IP-Adresse für den SSH-Dienst implementieren. (Wenn Ihr Server nicht ist schon hinter einer Firewall zum Beispiel oder die Iptables Regeln nicht bereits das notwendige tun).

Wir werden daher verbieten SSH-Verbindungen für alle und eine Ausnahme für unsere IP-Adressen :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Also Adressen nur die IP- 12.34.56.78 et 98.76.54.32 ist es gestattet, eine Verbindung zu stimmen Server en SSH (Natürlich ersetzen Sie mit der entsprechenden IP Adressen).

Alternativ können Sie die Authentifizierung durch Austausch der Schlüssel implementieren, wenn Sie es wünschen.