Muokataan sivua SSH-turvatoimet
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | ||
==Hyvät salasanat== | ==Hyvät salasanat== | ||
Rivi 19: | Rivi 12: | ||
Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | ||
/etc/init.d/ssh restart | /etc/init.d/ssh restart | ||
Rivi 36: | Rivi 27: | ||
== Yhteyden salliminen vain tietyiltä käyttäjiltä == | == Yhteyden salliminen vain tietyiltä käyttäjiltä == | ||
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | ||
AllowUsers joku jokutoinen | AllowUsers joku,jokutoinen | ||
== Portin vaihto == | == Portin vaihto == | ||
Rivi 48: | Rivi 33: | ||
#Port 22 #Entinen portti kommentoituna | #Port 22 #Entinen portti kommentoituna | ||
Port 54433 #Uusi portti | Port 54433 #Uusi portti | ||
==Fail2ban== | ==Fail2ban== | ||
:''Lue myös pääartikkeli [[Fail2ban]]''<br> | :''Lue myös pääartikkeli [[Fail2ban]]''<br> | ||
Fail2ban-skripti seuraa kirjautumisyrityksiä, ja estää yhteydet määritellyksi ajaksi (esim. 15 minuuttia) IP-osoitteista, joista epäonnistuneita yrityksiä tulee liikaa. Tämä torjuu | Fail2ban-skripti seuraa kirjautumisyrityksiä, ja estää yhteydet määritellyksi ajaksi (esim. 15 minuuttia) IP-osoitteista, joista epäonnistuneita yrityksiä tulee liikaa. Tämä torjuu tehokkaasti mm. sanakirjahyökkäyksiä, jos ne tulevat yhdeltä koneelta. [[:wikipedia:botnet|botnet]]-hyökkäys voidaan rakentaa kiertämään tämä suoja. | ||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
[[Luokka:Palvelimet]] | [[Luokka:Palvelimet]] | ||
[[Luokka:Etäkäyttö]] | [[Luokka:Etäkäyttö]] |