Erhöhen Sie die Sicherheit von SSH

en:Increase the security of SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH fr:Accroître la sécurité de SSH

Dieser Artikel wurde maschinell übersetzt. Sie können den Artikel Quelle hier ansehen.

Wann immer dies möglich ist, empfehlen wir dringend, um die Default-Identifier und die Standard-Hafen s kritischer Dienste zu ändern.

Über SSH sehen wir hier ein paar Elemente, die die Sicherheit dieses Dienstes stärken wird.

Im Rahmen der Erstellung dieses Artikels basieren wir auf eine Art Distribution Debian Jessie. Im Anschluss an Ihren Server, müssen die Konfiguration ändern. Sollte daher an Ihre Bedürfnisse anpassen.

In der Standardeinstellung in SSH verbinden Sie müssen eine Verbindung auf Hafen 22. Ändern Sie diese Port kann bereits viele Angriffe durch brute-Force zu verhindern.

Wenn Sie SSH auf einen anderen Port als den Standard verwenden möchten, müssen Sie ändern Port 22 durch Port 55555 in der Datei /und c/ssh/sshd_config.

Um Brute-Force-Angriffe viel weniger wirksam machen, können Sie auch SSH-Verbindung durch den Root-Account deaktivieren. Es wird daher haben einen Benutzer als das Standardkonto und zur Erhöhung von Berechtigungen von diesem Konto Administratorrechte.

Wir geben daher die damit verbundenen Möglichkeit, PermitRootLogin Yes à PermitRootLogin Nr. und der Nutzer eine Verbindung herstellen. Damit den Benutzer Ikoula daher um in SSH verbinden, fügen Sie die folgende Zeile in der Konfigurationsdatei : AllowUsers Ikoula

Falls über zwei Minuten die Verbindungsinformationen nicht während einer SSH-Verbindung zu Ihrem Server beschlagnahmt werden, wird die Verbindung unterbrochen. Diese Frist kann nach unten angepasst (nach der Wartezeit und die Stabilität Ihrer Verbindung natürlich ). Dreißig Sekunden kann ausreichend sein. Um diesen Wert zu ändern, ändern wir die Parameter LoginGraceTime. Jetzt ändern wir die Zeile LoginGraceTime 120 durch LoginGraceTime 30 in der Datei /etc/ssh/sshd_config.

Passen wir nun die Algorithmen von SSH verwendet, um die Nutzung auf einige durch das Hinzufügen von zwei zusätzliche Zeilen in der Konfigurationsdatei des SSH-Dienst begrenzen :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian standardmäßig fügt immer eine Zeichenfolge an die SSH-Banner. Um es einfach auszudrücken, wenn Sie eine Telnet auf Ihren Server zu tun (Telnet IP_SERVER 22), hier ist was du bekommst :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Also lasst uns dieses Verhalten deaktivieren, um nicht mehr den Namen unserer Distribution anzeigen :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Nun, lassen Sie uns diese :

SSH-2.0-OpenSSH_6.7p1

Die Änderungen sind abgeschlossen, wir werden den Dienst für die Änderungen wirksam werden neu starten :

systemctl restart ssh.service

Beachten Sie, dass Sie auch die IP-Adresse für Ihren SSH-Service-Einschränkungen können (Wenn Ihr Server nicht bereits hinter einer Firewall zum Beispiel oder Ihre Iptables-Regeln nicht bereits müssen ).

Wir werden daher verbieten SSH-Verbindungen für alle und eine Ausnahme für unsere IP-Adressen :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Also nur die IP-Adressen 12.34.56.78 et 98.76.54.32 zum Herstellen einer Abstimmung-SSH-Server erlaubt sein (Ersetzen Sie dies durch geeignete IP-Adresse ).

Alternativ können Sie Authentifizierung durch den Austausch der Schlüssel implementieren, wenn Sie es wünschen.