Ero sivun ”Ssh” versioiden välillä
Rivi 42: | Rivi 42: | ||
service ssh restart | service ssh restart | ||
+ | |||
+ | == Fail2ban == | ||
+ | |||
+ | Jos haluamme lisätä ssh-palvelimen tietoturvaa kuitenkin sallien ssh-yhteyden helposti, voimme käyttää Fail2ban ohjelmistoa. Asennus onnistuu samaan tapaan kuin ssh-serverin asennus aptitudea käyttäen. | ||
+ | |||
+ | aptitude install fail2ban | ||
+ | |||
+ | === /etc/fail2ban/jail.conf === | ||
+ | |||
+ | ''/etc/fail2ban/jail.conf'' tiedostosta löytyy fail2banin asetukset. Halutessasi voit kopioida ''jail.conf''fin uuteen tiedostoon ''/etc/fail2ban/jail.local''iin. Esimerkissä muokkaamme jail.conf tiedostoa siten, että filtterit eivät koske sisäverkosta (192.168.0.0/24) tulevia yhdistyksiä, vähennämme maksimi epäonnistumisten määrää kolmeen sekä vähennämme jäähyaikaa viiteen minuuttiin. | ||
+ | |||
+ | nano /etc/fail2ban/jail.conf | ||
+ | |||
+ | ignoreip = 127.0.0.1/8 192.168.0.0/24 | ||
+ | bantime = 300 | ||
+ | maxretry = 6 | ||
+ | maxretry arvon muutamme hieman alempaa, ssh valikon alta: | ||
+ | |||
+ | [ssh] | ||
+ | enabled = true | ||
+ | port = ssh ''<small>Muista muuttaa porttia jos olet asettanut ssh:n käyttämään jotain muuta porttia kuin 22</small>'' | ||
+ | filter = sshd | ||
+ | logpath = /var/log/auth.log | ||
+ | '''maxretry = 3''' |
Versio 17. huhtikuuta 2014 kello 11.57
SSH on käytännöllinen etähallinta palvelu linuxille.
SSH (Secure Shell) on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh.
Sisällysluettelo
Asennus
Asennetaan ssh -paketti aptitude:lla.
aptitude install ssh
Konfigurointi
/etc/ssh/sshd_config
Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot.
Muokataan sitä nano:lla
nano /etc/ssh/sshd_config
Portti (TCP, UDP), määritetään numerolla (oletus 22).
Port 22
Kirjautumis yhteyden aikakatkaisu, määritetään sekunteina (oletus 120).
LoginGraceTime 120
Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään yes tai no (oletus yes).
PermitRootLogin yes
Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään] (todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää)
MaxStartups 10:30:60
Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen).
Banner /etc/issue.net
Viestiä voi muokata nano:lla
nano /etc/issue.net
Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan.
service ssh restart
Fail2ban
Jos haluamme lisätä ssh-palvelimen tietoturvaa kuitenkin sallien ssh-yhteyden helposti, voimme käyttää Fail2ban ohjelmistoa. Asennus onnistuu samaan tapaan kuin ssh-serverin asennus aptitudea käyttäen.
aptitude install fail2ban
/etc/fail2ban/jail.conf
/etc/fail2ban/jail.conf tiedostosta löytyy fail2banin asetukset. Halutessasi voit kopioida jail.conffin uuteen tiedostoon /etc/fail2ban/jail.localiin. Esimerkissä muokkaamme jail.conf tiedostoa siten, että filtterit eivät koske sisäverkosta (192.168.0.0/24) tulevia yhdistyksiä, vähennämme maksimi epäonnistumisten määrää kolmeen sekä vähennämme jäähyaikaa viiteen minuuttiin.
nano /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1/8 192.168.0.0/24 bantime = 300 maxretry = 6
maxretry arvon muutamme hieman alempaa, ssh valikon alta:
[ssh] enabled = true port = ssh Muista muuttaa porttia jos olet asettanut ssh:n käyttämään jotain muuta porttia kuin 22 filter = sshd logpath = /var/log/auth.log maxretry = 3