Aumentar a segurança do SSH

fr:Accroître la sécurité de SSH en:Increase the security of SSH es:Aumentar la seguridad de SSH pt:Aumentar a segurança do SSH it:Aumentare la sicurezza di SSH nl:Verhoging van de veiligheid van SSH de:Erhöhen Sie die Sicherheit von SSH zh:提高 SSH 的安全性 ar:زيادة أمان SSH ja:SSH のセキュリティを高める pl:Zwiększenie bezpieczeństwa SSH ru:Повысить безопасность SSH ro:Creşte securitatea SSH he:להגביר את האבטחה של SSH
Este artigo foi traduzido por um sistema de tradução automática. Você pode visualizar a fonte do artigo aqui.

fr:Accroître la sécurité de SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH

Uma vez que isso é possível, é recomendável alterar os identificadores de padrão e os portos de padrão de serviços críticos.

Sobre SSH, vejamos alguns elementos que irão fortalecer a segurança deste serviço.

Dans le cadre de la rédaction de ce article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre Servidor, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.

Por padrão, para conectar em SSH, você deve estabelecer uma conexão na porta 22. Alterar este porto já pode te proteger de muitos ataques por força bruta.

Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 no arquivo. /etc/ssh/sshd_config.

Para fazer ataques de força bruta menos eficaz, você também pode desativar a conexão SSH através da conta de raiz. Portanto, vai ter um usuário que não seja a conta padrão e prosseguir com uma elevação de privilégios desta conta ter direitos de administrador.

On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter em SSH, il faudra donc ajouter la ligne suivante no arquivo. de configuration : AllowUsers ikoula

Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre Servidor, la connexion est coupée. Este período pode ser revisto em baixa (seguindo a latência e a estabilidade da sua conexão, é claro). Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime. Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.

Agora mudamos os algoritmos usados pelo SSH para limitar o uso de alguns adicionando duas linhas adicionais no arquivo de configuração do serviço SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian por padrão sempre adiciona uma sequência de caracteres para o banner do SSH. Para colocá-lo simplesmente, se você executar um telnet para seu Servidor (Telnet IP_SERVER 22), aqui está o que você ganha :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Então vamos desativar esse comportamento, a fim de não exibir o nome da nossa distribuição :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Agora, vamos acabar com isso :

SSH-2.0-OpenSSH_6.7p1

Alterações forem concluídas, vamos reiniciar o serviço para que as alterações ser eficaz :

systemctl restart ssh.service

Você também pode implementar a restrição de endereço IP para seu serviço SSH (Se seu Servidor é não já atrás de um firewall por exemplo ou seu iptables regras que não já o necessário).

Vamos, portanto, proibir conexões SSH para todos e colocar uma exceção para os nossos endereços IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Assim, somente os endereços IP 12.34.56.78 et 98.76.54.32 poderão conectar-se para votar Servidor en SSH (Substitua o apropriado, IP endereços claro).

Alternativamente, você pode implementar a autenticação por troca de chaves, se desejar.