Ero sivun ”SSH-turvatoimet” versioiden välillä
Siirry navigaatioon
Siirry hakuun
ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa |
|||
| Rivi 28: | Rivi 28: | ||
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | ||
AllowUsers joku jokutoinen | AllowUsers joku jokutoinen | ||
==Epäaktiivisten yhteyksien katkaisu== | |||
Käyttäjän unohtaessa istunnon auki esimerkiksi vieraalle koneelle, syntyy tietoturvariski. Epäaktiiviset yhteydet voi automaattisesti katkaista tietyn ajan kuluttua lisäämällä <tt>/etc/ssh/sshd_config</tt>-asetustiedostoon rivit: | |||
ClientAliveInterval 600 | |||
ClientAliveCountMax 3 | |||
<tt>ClientAliveInterval</tt> määrittää ajan sekunteina, jonka käyttäjän tulee olla epäaktiivinen (600 sekuntia = 10 minuuttia). <tt>ClientAliveCountMax</tt> määrittää SSH-palvelimen lähettämät checkalive-kyselyt, joilla se kysyy asiakkaalta onko tämä vielä elossa. | |||
== Portin vaihto == | == Portin vaihto == | ||
| Rivi 33: | Rivi 39: | ||
#Port 22 #Entinen portti kommentoituna | #Port 22 #Entinen portti kommentoituna | ||
Port 54433 #Uusi portti | Port 54433 #Uusi portti | ||
==SSH-2 -protokollan käyttö== | |||
SSH-1 -protokollasta on löytynyt haavoittuvuuksia ja sen käyttöä tulisi välttää. Jotta SSH-2 olisi käytössä, <tt>/etc/ssh/sshd_config</tt>-asetustiedostossa tulee olla rivi: | |||
Protocol 2 | |||
==Fail2ban== | ==Fail2ban== | ||