Aumentar a segurança do SSH

ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH es:Aumentar la seguridad de SSH fr:Accroître la sécurité de SSH

Este artigo foi traduzido por um sistema de tradução automática. Você pode visualizar a fonte do artigo aqui.

Sempre que isso seja possível, é altamente recomendável por a modificar os identificadores padrão e os portos de padrão de serviços críticos.

Sobre SSH, vemos aqui alguns elementos que irão fortalecer a segurança deste serviço.

No contexto da elaboração do presente artigo, nós baseiam-se em um tipo da distribuição Debian Jessie. A configuração a seguir no seu servidor, poderá ter de alterar. Deve, portanto, adaptar-se às suas necessidades.

Por padrão, por a conectar em SSH, você deve estabelecer uma conexão na porta 22. Alterar esta porta já pode evitar muitos ataques por força bruta.

Se você deseja usar SSH numa porta diferente da padrão um, você precisará modificar Porto o 22 par Port 55555 no arquivo /e c/ssh/sshd_config.

Para fazer ataques de força bruta, muito menos eficaz, você também pode desativar a conexão SSH através da conta de raiz. Portanto, vai ter um usuário que não seja a conta padrão e proceder à elevação de privilégio desta conta ter direitos de administrador.

Portanto, passaremos a opção associada de PermitRootLogin sim à N º PermitRootLogin e declarar os usuários podem se conectar. Para permitir que o usuário ikoula Portanto, para se conectar em SSH, adicione a seguinte linha no arquivo de configuração : AllowUsers ikoula

Se além de dois minutos, as informações de conexão não são apreendidas durante uma conexão SSH ao seu servidor, a conexão é cortada. Este período pode ser ajustado para baixo (seguindo a latência e a estabilidade da sua conexão, é claro ). Trinta segundos pode ser suficientes. Para alterar esse valor, modificaremos o parâmetro LoginGraceTime. Nós agora modificar a linha LoginGraceTime 120 par LoginGraceTime 30 no arquivo /etc/ssh/sshd_config.

Agora modificaremos os algoritmos usados pelo SSH para limitar o uso de alguns adicionando duas linhas adicionais no arquivo de configuração do serviço SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian por padrão sempre adiciona uma seqüência de caracteres para o banner do SSH. Para colocá-lo simplesmente, se você fazer um telnet para o servidor (Telnet IP_SERVER 22), aqui está o que você ganha :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Então vamos desativar esse comportamento já não exibir o nome da nossa distribuição :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Agora, vamos ver se :

SSH-2.0-OpenSSH_6.7p1

As alterações forem concluídas, irá reiniciar o serviço para que as alterações ser eficaz :

systemctl restart ssh.service

Note que você também pode configurar o endereço IP para as restrições de serviço SSH (Se seu servidor não estiver atrás de um firewall por exemplo ou já não necessito suas regras iptables ).

Vamos, portanto, proibir conexões SSH para todos e colocar uma exceção para nossos endereços IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Assim, somente os endereços IP 12.34.56.78 et 98.76.54.32 será permitido para se conectar ao servidor SSH de voto (Substitua o curso apropriado de endereço IP ).

Como alternativa, você pode implementar autenticação através da troca de chaves, se quiser.