Ero sivun ”SSH-turvatoimet” versioiden välillä

Siirry navigaatioon Siirry hakuun
1 632 merkkiä lisätty ,  12. lokakuuta 2019
→‎Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje
(→‎Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje)
 
(3 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata.
Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata.
==Salasanalla kirjautumisen estäminen==
Salasanojen sijasta avainparikirjautumisen käyttäminen estää salasanan arvaamiseen tai kokeilemiseen perustuvat hyökkäykset kokonaan.
Tämä on mahdollista toteuttaa lisäämällä SSH-palvelimen asetuksiin rivi:
PasswordAuthentication no
Jos päätät toteuttaa tämän toimenpiteen, kaikki salasanoihin liittyvät tällä sivulla mainitut toimenpiteet käyvät tarpeettomiksi.


==Hyvät salasanat==
==Hyvät salasanat==
Rivi 12: Rivi 19:


Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen:
Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen:
systemctl restart ssh
tai vanhalla init-järjestelmällä:
  /etc/init.d/ssh restart
  /etc/init.d/ssh restart


Rivi 28: Rivi 37:
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup
  AllowUsers joku jokutoinen
  AllowUsers joku jokutoinen
==Epäaktiivisten yhteyksien katkaisu==
Käyttäjän unohtaessa istunnon auki esimerkiksi vieraalle koneelle, syntyy tietoturvariski. Epäaktiiviset yhteydet voi automaattisesti katkaista tietyn ajan kuluttua lisäämällä <tt>/etc/ssh/sshd_config</tt>-asetustiedostoon rivit:
ClientAliveInterval 600
ClientAliveCountMax 3
<tt>ClientAliveInterval</tt> määrittää ajan sekunteina, jonka käyttäjän tulee olla epäaktiivinen (600 sekuntia = 10 minuuttia). <tt>ClientAliveCountMax</tt> määrittää SSH-palvelimen lähettämät checkalive-kyselyt, joilla se kysyy asiakkaalta onko tämä vielä elossa.


== Portin vaihto ==
== Portin vaihto ==
Rivi 33: Rivi 48:
  #Port 22  #Entinen portti kommentoituna
  #Port 22  #Entinen portti kommentoituna
  Port 54433 #Uusi portti
  Port 54433 #Uusi portti
==SSH-2 -protokollan käyttö==
SSH-1 -protokollasta on löytynyt haavoittuvuuksia ja sen käyttöä tulisi välttää. Jotta SSH-2 olisi käytössä, <tt>/etc/ssh/sshd_config</tt>-asetustiedostossa tulee olla rivi:
Protocol 2
==Kertakäyttösalasanageneraattorin käyttö==
[[Google Authenticator]] ja vastaavat kertakäyttösalasanageneraattorit mahdollistavat salasanakirjautumisen tekemisen huomattavasti turvallisemmaksi. Käytännössä siinä käytetään älypuhelinsovellusta, joka tuottaa kertakäyttöisiä salasanoja.


==Fail2ban==
==Fail2ban==
Rekisteröitymätön käyttäjä

Navigointivalikko