Diferencia entre revisiones de «Aumentar la seguridad de SSH»

ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH fr:Accroître la sécurité de SSH

Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo aquí.

Siempre que sea posible, se recomienda por a modificar los identificadores por defecto y los puertos por defecto de servicios críticos.

Sobre SSH, aquí vemos algunos elementos que fortalecerán la seguridad de este servicio.

En el contexto de la redacción de este artículo, nos basamos en una distribución tipo Debian Jessie. Seguimiento a su servidor, la configuración deba cambiar. Por lo tanto, debe adaptarse a sus necesidades.

Por defecto, por a la conexión de SSH, se debe establecer una conexión en el puerto 22. Cambiar este puerto ya puede prevenir muchos ataques por fuerza bruta.

Si desea utilizar SSH en un puerto que no sea la predy erminada, tendrá que modificar Puerto 22 par Puerto 55555 en el archivo /etc/ssh/sshd_config.

Para hacer ataques de fuerza bruta mucho menos eficaz, también puede deshabilitar conexión SSH a través de la cuenta de root. Por lo tanto se tiene un usuario que no sea la cuenta predeterminada y proceder a la elevación de privilegios de esta cuenta para tener derechos de administrador.

Por lo tanto pasamos la opción asociada de PermitRootLogin yes à PermitRootLogin no y los usuarios puedos conectarse. Para permitir al usuario Ikoula por lo tanto para conectar en SSH, agregue la línea siguiente en el archivo de configuración : AllowUsers ikoula

Si más de dos minutos la información de conexión no se agarra durante una conexión SSH a su servidor, la conexión se corta. Este periodo puede ajustarse hacia abajo (después de la latencia y la estabilidad de tu conexión, por supuesto ). Treinta segundos pueden ser suficientes. Para cambiar este valor, modificamos el parámetro LoginGraceTime. Ahora modificamos la línea LoginGraceTime 120 par LoginGraceTime 30 en el archivo /etc/ssh/sshd_config.

Ahora modificaremos los algoritmos utilizados por SSH para limitar el uso a algunos agregando dos líneas adicionales en el archivo de configuración del servicio SSH :

echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config

Debian por defecto siempre agrega una cadena de caracteres a la bandera SSH. Para decirlo simplemente, si puedes hacer un telnet al servidor (Telnet IP_SERVER 22), aquí es lo que hay :

SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2

Así que vamos a desactivar este comportamiento para no mostrar el nombre de nuestro centro de distribución :

echo "DebianBanner no" >> /etc/ssh/sshd_config

Ahora, vamos a conseguirlo :

SSH-2.0-OpenSSH_6.7p1

Los cambios son completos, se reiniciará el servicio para los cambios para ser efectivos :

systemctl restart ssh.service

Tenga en cuenta que usted también puede configurar la dirección IP para su restricción de servicio SSH (Si su servidor no está detrás de un firewall por ejemplo o las reglas de iptables ya no es necesario ).

Por lo tanto se prohíben las conexiones SSH a cada uno y poner una excepción para nuestras direcciones IP :

echo "sshd: ALL" >> /etc/hosts.deny

echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow

Por lo tanto, sólo la IP direcciones 12.34.56.78 et 98.76.54.32 se permitirá conectar a servidor SSH de voto (Reemplazar con el curso apropiado de la dirección IP ).

Alternativamente, puede implementar autenticación por el intercambio de claves, si lo desea.