Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> サーバー技術 >> サーバーについて >> システムのセキュリティ:sshdサービスのセキュリティを向上させる問題を解決します

システムのセキュリティ:sshdサービスのセキュリティを向上させる問題を解決します

  

LinuxまたはUnixを使用してサーバーを構築する場合、リモートでのメンテナンスと管理を容易にするために、基本的にsshdサービスを開きます。 sshは暗号化技術を介してオンラインパケットを通過させてデータを送信しますが、パスワードや秘密情報を取得するためにネットワークスヌーピングを使用しているハッカーに効果的に抵抗できます。サーバーを制御します。サーバーをより安全で信頼性の高いものにするにはどうすればよいですか。 sshサーバーの設定を少しだけ調整すれば、システムのセキュリティが大幅に向上し、ネットワークへの侵入の危険性を減らすことができます。具体的な操作は以下の通りです。

1. sshdサーバの設定ファイル/etc /ssh /sshd_configを修正し、以下のようにいくつかのパラメータを修正してセキュリティを強化します。

ポート5555

システムはデフォルトでポート22を使用し、他の通常のサービスポートとの競合を避けるために待機ポートを他の値に変更します(できれば1024以上の高いポート)。 sshdデーモンを実行するために侵入者検知システムを増やすことはより困難です。

ListenAddress 192.168.0.1

サーバーに複数のネットワークカードをインストールする場合、または複数のIPアドレスを設定する場合は、指定したいずれかのインターフェイスアドレスでのみ待機するようにsshdを設定します。 sshdへの入り口は侵入の可能性を減らします。

PermitRootLogin no

ユーザーがrootとしてログインすることを許可すると、ハッカーがrootユーザーのパスワードをブルートフォースすることを試みる可能性があり、システムセキュリティに危険をもたらします。

PermitEmptyPasswords no

ヌルパスワードシステムの使用を許可することは、無防備な要塞のようなものです。

AllowUsers sshuser1 sshuser2

特定のユーザーのみがsshを介してサーバーにアクセスでき、sshの使用権は最小限に制限されています。

AllowGroups sshgroup

上記のAllowUsersと同様に、指定されたユーザーグループはsshを介したサーバーへのアクセスが制限されています。これは、アクセスが制限されているサーバーでも同じです。

プロトコル2

バージョン1のプロトコルは、パスワードを簡単に暗くすることを容易にする設計上の欠陥のために禁止されています。

不要な(または保護されていない)承認方法をすべて許可しません。

X11転送を許可しない

セッションが乗っ取られないようにするには、X11転送をオフにします。

MaxStartups 5

sshdサービスは、接続ごとに大量のメモリで実行されるため、sshにサービス拒否攻撃が行われます。同時にサーバーを管理する管理者が多数いない限り、この接続設定にはサーバーで十分です。

注:上記のパラメータ設定は一例ですので、それぞれの環境に応じて適切に変更する必要があります。

2. sshdサーバー設定ファイル/etc /ssh /sshd_configの読み取り/書き込み権限を変更し、権限のないユーザーがsshdサービスのセキュリティ設定を変更できないように、すべてのroot以外のユーザーに読み取り専用権限を設定します。

chmod 644 /etc /ssh /sshd_config

3. TCPラッパーを設定します。サーバーはデフォルトですべての要求接続を受け入れますが、これは非常に危険です。 TCPラッパーを使用すると、特定のホストに対してのみアプリケーションサービスを開くことをブロックまたは許可し、システムにセキュリティの層を追加することができます。セットアップのこの部分には、hosts.allowとhosts.denyの2つのファイルが関係します。

明示的に許可された要求を/etc/hosts.allowに追加します。 IPアドレス192.168.0.15と10.0.0.11のホストのみがsshdサービスを使用することをシステムが許可する場合は、以下を追加します。

sshd:192.168.0.15 10.0.0.11

は禁止されます。情報が/etc/hosts.denyに追加されました。 sshdを除くすべてのユーザー(hosts.allowリストでsshdを明示的に許可しているユーザーを除く)については、hosts.denyファイルに以下を追加してください。

sshd:All

注意事項hosts.allowファイル、hosts.denyファイルの順に上記2つのファイルが判定されるため、hosts.allowでは1人のユーザがネットワークリソースを使用でき、hosts.denyではネットワークが禁止されています。リソース。この場合、システムはhosts.allow設定を使用してユーザーがネットワークリソースを使用できるようにします。

4.システムに必要のない起動サービスを無効にします。デフォルトでは、多くのネットワーク関連サービスが開始されているため、LISTENING用に多数のポートが開かれています。開いているポートが多ければ多いほど、システムは外部から危険にさらされる可能性が高くなるため、システムセキュリティを確保するために、不要な起動サービスをできるだけシャットダウンしてポートをシャットダウンするようにしてください。

上記のステップは基本的にsshdサービスの設定における潜在的な脆弱性をブロックします。設定を調整するために少し時間がかかる限り、投資する必要はありません、それはシステムのセキュリティ環境を大いに改善できます。それじゃない?

Copyright © Windowsの知識 All Rights Reserved