Rekisteröitymätön käyttäjä
Ero sivun ”SSH-turvatoimet” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje
LP (keskustelu | muokkaukset) (fail2ban ei välttämättä tehokas; tointen järjestys) |
(→Pääkäyttäjänä kirjautumisen estäminen: lisätty systemctl restart ssh ohje) |
||
| (5 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | Tässä artikkelissa listataan erilaisia keinoja joilla luvattomia [[SSH]]-kirjautumisia voidaan välttää ja riskejä rajata. | ||
==Salasanalla kirjautumisen estäminen== | |||
Salasanojen sijasta avainparikirjautumisen käyttäminen estää salasanan arvaamiseen tai kokeilemiseen perustuvat hyökkäykset kokonaan. | |||
Tämä on mahdollista toteuttaa lisäämällä SSH-palvelimen asetuksiin rivi: | |||
PasswordAuthentication no | |||
Jos päätät toteuttaa tämän toimenpiteen, kaikki salasanoihin liittyvät tällä sivulla mainitut toimenpiteet käyvät tarpeettomiksi. | |||
==Hyvät salasanat== | ==Hyvät salasanat== | ||
| Rivi 12: | Rivi 19: | ||
Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | Jotta muutokset tulevat voimaan, on ssh-palvelin käynnistettävä uudelleen: | ||
systemctl restart ssh | |||
tai vanhalla init-järjestelmällä: | |||
/etc/init.d/ssh restart | /etc/init.d/ssh restart | ||
| Rivi 27: | Rivi 36: | ||
== Yhteyden salliminen vain tietyiltä käyttäjiltä == | == Yhteyden salliminen vain tietyiltä käyttäjiltä == | ||
Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | Usein koneella on käyttäjiä, jotka käyttävät konetta vain paikallisesti. Jotta näiden mahdollisesti huonoja salasanoja ei voisi murtaa SSH:n kautta, kannattaa määrätä sallitut SSH-käyttäjät tiedostossa /etc/ssh/sshd_config. Tähän käy avainsana AllowUsers, Allowgroups, DenyUsers tai DenyGroup | ||
AllowUsers joku, | AllowUsers joku jokutoinen | ||
==Epäaktiivisten yhteyksien katkaisu== | |||
Käyttäjän unohtaessa istunnon auki esimerkiksi vieraalle koneelle, syntyy tietoturvariski. Epäaktiiviset yhteydet voi automaattisesti katkaista tietyn ajan kuluttua lisäämällä <tt>/etc/ssh/sshd_config</tt>-asetustiedostoon rivit: | |||
ClientAliveInterval 600 | |||
ClientAliveCountMax 3 | |||
<tt>ClientAliveInterval</tt> määrittää ajan sekunteina, jonka käyttäjän tulee olla epäaktiivinen (600 sekuntia = 10 minuuttia). <tt>ClientAliveCountMax</tt> määrittää SSH-palvelimen lähettämät checkalive-kyselyt, joilla se kysyy asiakkaalta onko tämä vielä elossa. | |||
== Portin vaihto == | == Portin vaihto == | ||
| Rivi 33: | Rivi 48: | ||
#Port 22 #Entinen portti kommentoituna | #Port 22 #Entinen portti kommentoituna | ||
Port 54433 #Uusi portti | Port 54433 #Uusi portti | ||
==SSH-2 -protokollan käyttö== | |||
SSH-1 -protokollasta on löytynyt haavoittuvuuksia ja sen käyttöä tulisi välttää. Jotta SSH-2 olisi käytössä, <tt>/etc/ssh/sshd_config</tt>-asetustiedostossa tulee olla rivi: | |||
Protocol 2 | |||
==Kertakäyttösalasanageneraattorin käyttö== | |||
[[Google Authenticator]] ja vastaavat kertakäyttösalasanageneraattorit mahdollistavat salasanakirjautumisen tekemisen huomattavasti turvallisemmaksi. Käytännössä siinä käytetään älypuhelinsovellusta, joka tuottaa kertakäyttöisiä salasanoja. | |||
==Fail2ban== | ==Fail2ban== | ||
:''Lue myös pääartikkeli [[Fail2ban]]''<br> | :''Lue myös pääartikkeli [[Fail2ban]]''<br> | ||
Fail2ban-skripti seuraa kirjautumisyrityksiä, ja estää yhteydet määritellyksi ajaksi (esim. 15 minuuttia) IP-osoitteista, joista epäonnistuneita yrityksiä tulee liikaa. Tämä torjuu tehokkaasti mm. sanakirjahyökkäyksiä, jos ne tulevat yhdeltä koneelta. [[:wikipedia:botnet|botnet]]- | Fail2ban-skripti seuraa kirjautumisyrityksiä, ja estää yhteydet määritellyksi ajaksi (esim. 15 minuuttia) IP-osoitteista, joista epäonnistuneita yrityksiä tulee liikaa. Tämä torjuu varsin tehokkaasti mm. automatisoituja sanakirjahyökkäyksiä, jos ne tulevat yhdeltä koneelta. [[:wikipedia:botnet|botnet]]-hyökkäyksen hajautetun luonteen vuoksi sellaista vastaan fail2banista ei ole apua, eikä muita turvatoimia ole syytä vähätellä, vaikka fail2ban olisikin käytössä. | ||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
[[Luokka:Palvelimet]] | [[Luokka:Palvelimet]] | ||
[[Luokka:Etäkäyttö]] | [[Luokka:Etäkäyttö]] | ||