Rekisteröitymätön käyttäjä
Ero sivun ”SSH-turvatoimet” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje
(→Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje) |
|||
| (3 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | ||
==Salasanalla kirjautumisen estäminen== | |||
Salasanojen sijasta avainparikirjautumisen käyttäminen estää salasanan arvaamiseen tai kokeilemiseen perustuvat hyökkäykset kokonaan. | |||
Tämä on mahdollista toteuttaa lisäämällä SSH-palvelimen asetuksiin rivi: | |||
PasswordAuthentication no | |||
Jos päätät toteuttaa tämän toimenpiteen, kaikki salasanoihin liittyvät tällä sivulla mainitut toimenpiteet käyvät tarpeettomiksi. | |||
==Hyvät salasanat== | ==Hyvät salasanat== | ||
| Rivi 12: | Rivi 19: | ||
Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | ||
systemctl restart ssh | |||
tai vanhalla init-järjestelmällä: | |||
/etc/init.d/ssh restart | /etc/init.d/ssh restart | ||
| Rivi 28: | Rivi 37: | ||
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | ||
AllowUsers joku jokutoinen | AllowUsers joku jokutoinen | ||
==Epäaktiivisten yhteyksien katkaisu== | |||
Käyttäjän unohtaessa istunnon auki esimerkiksi vieraalle koneelle, syntyy tietoturvariski. Epäaktiiviset yhteydet voi automaattisesti katkaista tietyn ajan kuluttua lisäämällä <tt>/etc/ssh/sshd_config</tt>-asetustiedostoon rivit: | |||
ClientAliveInterval 600 | |||
ClientAliveCountMax 3 | |||
<tt>ClientAliveInterval</tt> määrittää ajan sekunteina, jonka käyttäjän tulee olla epäaktiivinen (600 sekuntia = 10 minuuttia). <tt>ClientAliveCountMax</tt> määrittää SSH-palvelimen lähettämät checkalive-kyselyt, joilla se kysyy asiakkaalta onko tämä vielä elossa. | |||
== Portin vaihto == | == Portin vaihto == | ||
| Rivi 33: | Rivi 48: | ||
#Port 22 #Entinen portti kommentoituna | #Port 22 #Entinen portti kommentoituna | ||
Port 54433 #Uusi portti | Port 54433 #Uusi portti | ||
==SSH-2 -protokollan käyttö== | |||
SSH-1 -protokollasta on löytynyt haavoittuvuuksia ja sen käyttöä tulisi välttää. Jotta SSH-2 olisi käytössä, <tt>/etc/ssh/sshd_config</tt>-asetustiedostossa tulee olla rivi: | |||
Protocol 2 | |||
==Kertakäyttösalasanageneraattorin käyttö== | |||
[[Google Authenticator]] ja vastaavat kertakäyttösalasanageneraattorit mahdollistavat salasanakirjautumisen tekemisen huomattavasti turvallisemmaksi. Käytännössä siinä käytetään älypuhelinsovellusta, joka tuottaa kertakäyttöisiä salasanoja. | |||
==Fail2ban== | ==Fail2ban== | ||