Mainos / Advertisement:

Ero sivun ”Ssh” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 42: Rivi 42:
  
 
  service ssh restart
 
  service ssh restart
 +
 +
== Fail2ban ==
 +
 +
Jos haluamme lisätä ssh-palvelimen tietoturvaa kuitenkin sallien ssh-yhteyden helposti, voimme käyttää Fail2ban ohjelmistoa. Asennus onnistuu samaan tapaan kuin ssh-serverin asennus aptitudea käyttäen.
 +
 +
aptitude install fail2ban
 +
 +
=== /etc/fail2ban/jail.conf ===
 +
 +
''/etc/fail2ban/jail.conf'' tiedostosta löytyy fail2banin asetukset. Halutessasi voit kopioida ''jail.conf''fin uuteen tiedostoon ''/etc/fail2ban/jail.local''iin. Esimerkissä muokkaamme jail.conf tiedostoa siten, että filtterit eivät koske sisäverkosta (192.168.0.0/24) tulevia yhdistyksiä, vähennämme maksimi epäonnistumisten määrää kolmeen sekä vähennämme jäähyaikaa viiteen minuuttiin.
 +
 +
nano /etc/fail2ban/jail.conf
 +
 +
ignoreip = 127.0.0.1/8 192.168.0.0/24
 +
bantime = 300
 +
maxretry = 6
 +
maxretry arvon muutamme hieman alempaa, ssh valikon alta:
 +
 +
[ssh]
 +
enabled = true
 +
port    = ssh          ''<small>Muista muuttaa porttia jos olet asettanut ssh:n käyttämään jotain muuta porttia kuin 22</small>''
 +
filter  = sshd
 +
logpath  = /var/log/auth.log
 +
'''maxretry = 3'''

Versio 17. huhtikuuta 2014 kello 11.57

SSH on käytännöllinen etähallinta palvelu linuxille.

SSH (Secure Shell) on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh.

Asennus

Asennetaan ssh -paketti aptitude:lla.

aptitude install ssh

Konfigurointi

/etc/ssh/sshd_config

Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot.

Muokataan sitä nano:lla

nano /etc/ssh/sshd_config

Portti (TCP, UDP), määritetään numerolla (oletus 22).

Port 22

Kirjautumis yhteyden aikakatkaisu, määritetään sekunteina (oletus 120).

LoginGraceTime 120

Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään yes tai no (oletus yes).

PermitRootLogin yes

Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään] (todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää)

MaxStartups 10:30:60

Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen).

Banner /etc/issue.net

Viestiä voi muokata nano:lla

nano /etc/issue.net


Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan.

service ssh restart

Fail2ban

Jos haluamme lisätä ssh-palvelimen tietoturvaa kuitenkin sallien ssh-yhteyden helposti, voimme käyttää Fail2ban ohjelmistoa. Asennus onnistuu samaan tapaan kuin ssh-serverin asennus aptitudea käyttäen.

aptitude install fail2ban

/etc/fail2ban/jail.conf

/etc/fail2ban/jail.conf tiedostosta löytyy fail2banin asetukset. Halutessasi voit kopioida jail.conffin uuteen tiedostoon /etc/fail2ban/jail.localiin. Esimerkissä muokkaamme jail.conf tiedostoa siten, että filtterit eivät koske sisäverkosta (192.168.0.0/24) tulevia yhdistyksiä, vähennämme maksimi epäonnistumisten määrää kolmeen sekä vähennämme jäähyaikaa viiteen minuuttiin.

nano /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1/8 192.168.0.0/24
bantime = 300
maxretry = 6

maxretry arvon muutamme hieman alempaa, ssh valikon alta:

[ssh]
enabled = true
port    = ssh           Muista muuttaa porttia jos olet asettanut ssh:n käyttämään jotain muuta porttia kuin 22
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3
Mainos / Advertisement: