Opération et maintenanceexploitation et maintenance LinuxRenforcement de la sécurité SSH : protection des environnements Linux SysOps contre les attaquesRenforcement de la sécurité SSH : protection des environnements Linux SysOps contre les attaques
Renforcement de la sécurité SSH : protéger les environnements Linux SysOps contre les attaques
Introduction :
Secure Shell (SSH) est un protocole largement utilisé pour la gestion à distance, le transfert de fichiers et la transmission sécurisée. Cependant, comme SSH est souvent la cible de pirates informatiques, il est très important de renforcer votre serveur SSH en toute sécurité. Cet article présentera quelques méthodes pratiques pour aider le personnel SysOps (exploitation et maintenance du système) à renforcer et à protéger son environnement Linux contre les attaques SSH.
1. Désactivez la connexion SSH ROOT
La connexion SSH ROOT est l'une des cibles les plus populaires pour les pirates. Les pirates peuvent utiliser le cracking par force brute ou des attaques contre des vulnérabilités SSH connues pour obtenir des privilèges d'administrateur via la connexion SSH ROOT. Pour éviter que cela ne se produise, la désactivation de la connexion SSH ROOT est une étape très importante.
Dans le fichier de configuration SSH (généralement /etc/ssh/sshd_config), recherchez l'option "PermitRootLogin", changez sa valeur en "no", puis redémarrez le service SSH. La configuration modifiée est la suivante :
PermitRootLogin no
2. Utiliser l'authentification par clé SSH
L'authentification par clé SSH utilise un algorithme de cryptage asymétrique, qui est plus sécurisé que l'authentification traditionnelle par mot de passe. Lors de l'utilisation de l'authentification par clé SSH, l'utilisateur doit générer une paire de clés, la clé publique est stockée sur le serveur et la clé privée est stockée sur le client. Lorsqu'un utilisateur se connecte, le serveur confirme son identité en vérifiant l'exactitude de la clé publique.
Comment générer des clés SSH :
- Utilisez la commande ssh-keygen sur le client pour générer une paire de clés.
- Copiez la clé publique générée dans le fichier ~/.ssh/authorized_keys du serveur.
- Assurez-vous que les autorisations du fichier de clé privée sont définies sur 600 (c'est-à-dire que seul le propriétaire peut lire et écrire).
Après avoir terminé les étapes ci-dessus, vous pouvez désactiver la connexion par mot de passe et autoriser uniquement la connexion par clé. Dans le fichier de configuration SSH, modifiez l'option "PasswordAuthentication" sur "no", puis redémarrez le service SSH.
PasswordAuthentication no
3. Changez le port SSH
Par défaut, le serveur SSH écoute sur le port 22. Étant donné que ce port est public, il est vulnérable à la force brute ou à l'analyse de port. Pour améliorer la sécurité, nous pouvons changer le port d'écoute du serveur SSH.
Dans le fichier de configuration SSH, recherchez l'option "Port" et définissez-la sur un numéro de port non conventionnel, tel que 2222. N'oubliez pas de redémarrer le service SSH.
Port 2222
4. Utilisez un pare-feu pour restreindre l'accès SSH
La configuration d'un pare-feu est l'une des étapes importantes pour protéger le serveur. En utilisant un pare-feu, nous pouvons restreindre l'accès SSH à des adresses IP ou à des plages d'adresses IP spécifiques uniquement.
À l'aide du pare-feu iptables, vous pouvez exécuter la commande suivante pour restreindre l'accès SSH :
sudo iptables -A INPUT -p tcp --dport 2222 -s Adresse IP autorisée à accéder -j ACCEPT
sudo iptables -A INPUT -p tcp -- dport 2222 -j DROP
La commande ci-dessus permet à l'adresse IP spécifiée d'accéder à SSH et bloque l'accès à partir de toutes les autres adresses IP. N'oubliez pas de sauvegarder et d'appliquer les règles de pare-feu.
5. Utilisez Fail2Ban pour bloquer automatiquement les adresses IP malveillantes
Fail2Ban est un outil qui peut surveiller automatiquement les fichiers journaux et bloquer les comportements malveillants. En surveillant les connexions SSH ayant échoué, Fail2Ban peut bloquer automatiquement les adresses IP des attaquants.
Après avoir installé Fail2Ban, ouvrez son fichier de configuration (généralement /etc/fail2ban/jail.conf) et configurez ce qui suit :
[sshd]
enabled = true
port = 2222
filter = sshd
maxretry = 3
findtime = 600
bantime = 3600
La configuration ci-dessus signifie que si une adresse IP tente de se connecter SSH plus de 3 fois en 10 minutes, elle sera automatiquement bloquée pendant 1 heure. Une fois la configuration terminée, redémarrez le service Fail2Ban.
Résumé :
En désactivant la connexion SSH ROOT, en utilisant l'authentification par clé SSH, en modifiant les ports SSH, en utilisant des pare-feu pour restreindre l'accès SSH et en utilisant Fail2Ban, nous pouvons renforcer et protéger efficacement l'environnement Linux SysOps contre les attaques SSH. Voici quelques méthodes pratiques que le personnel SysOps peut utiliser pour sélectionner les mesures de sécurité appropriées et les mettre en œuvre en fonction de la situation réelle. Dans le même temps, la mise à jour et la surveillance régulières des logiciels et des correctifs sur le serveur sont également essentielles pour protéger le serveur contre les attaques. Ce n'est qu'en restant vigilants et en prenant les mesures de sécurité appropriées que nous pourrons assurer la sécurité de notre environnement Linux.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comprendre le mode de maintenance de Linux: l'essentielApr 14, 2025 am 12:04 AMLe mode de maintenance Linux est entré en ajoutant init = / bin / bash ou paramètres uniques au démarrage. 1. Entrez le mode de maintenance: modifiez le menu Grub et ajoutez des paramètres de démarrage. 2. Remontez le système de fichiers en mode de lecture et d'écriture: Mount-Oremount, RW /. 3. Réparer le système de fichiers: utilisez la commande fsck, telle que FSCK / DEV / SDA1. 4. Sauvegardez les données et opérez avec prudence pour éviter la perte de données.
Comment Debian améliore la vitesse de traitement des données HadoopApr 13, 2025 am 11:54 AMCet article examine comment améliorer l'efficacité du traitement des données Hadoop sur les systèmes Debian. Les stratégies d'optimisation couvrent les mises à niveau matérielle, les ajustements des paramètres du système d'exploitation, les modifications de configuration de Hadoop et l'utilisation d'algorithmes et d'outils efficaces. 1. Le renforcement des ressources matérielles garantit que tous les nœuds ont des configurations matérielles cohérentes, en particulier en faisant attention aux performances du CPU, de la mémoire et de l'équipement réseau. Le choix des composants matériels de haute performance est essentiel pour améliorer la vitesse de traitement globale. 2. Réglage des paramètres JVM: Ajustez dans le fichier hadoop-env.sh
Comment apprendre Debian SyslogApr 13, 2025 am 11:51 AMCe guide vous guidera pour apprendre à utiliser Syslog dans Debian Systems. Syslog est un service clé dans les systèmes Linux pour les messages du système de journalisation et du journal d'application. Il aide les administrateurs à surveiller et à analyser l'activité du système pour identifier et résoudre rapidement les problèmes. 1. Connaissance de base de Syslog Les fonctions principales de Syslog comprennent: la collecte et la gestion des messages journaux de manière centralisée; Prise en charge de plusieurs formats de sortie de journal et des emplacements cibles (tels que les fichiers ou les réseaux); Fournir des fonctions de visualisation et de filtrage des journaux en temps réel. 2. Installer et configurer syslog (en utilisant RSYSLOG) Le système Debian utilise RSYSLOG par défaut. Vous pouvez l'installer avec la commande suivante: SudoaptupDatesud
Comment choisir la version Hadoop dans DebianApr 13, 2025 am 11:48 AMLors du choix d'une version Hadoop adaptée au système Debian, les facteurs clés suivants doivent être pris en compte: 1. Stabilité et support à long terme: pour les utilisateurs qui poursuivent la stabilité et la sécurité, il est recommandé de choisir une version stable Debian, comme Debian11 (Bullseye). Cette version a été entièrement testée et a un cycle de support allant jusqu'à cinq ans, ce qui peut assurer le fonctionnement stable du système. 2. Package Mise à jour: Si vous avez besoin d'utiliser les dernières fonctionnalités et fonctionnalités Hadoop, vous pouvez considérer la version instable de Debian (SID). Cependant, il convient de noter que les versions instables peuvent avoir des problèmes de compatibilité et des risques de stabilité. 3. Soutien et ressources communautaires: Debian a un énorme soutien communautaire, qui peut fournir une documentation riche et
TiGervnc Partager Fichier Méthode sur DebianApr 13, 2025 am 11:45 AMCet article décrit comment utiliser TiGervnc pour partager des fichiers sur Debian Systems. Vous devez d'abord installer le serveur Tigervnc, puis le configurer. 1. Installez le serveur Tigervnc et ouvrez le terminal. Mettez à jour la liste des packages logiciels: SudoaptupDate pour installer le serveur TiGervnc: SudoaptInstallTiGervnc-standalone-servertigervnc-Common 2. Configurez le serveur TiGervnc pour définir le serveur VNC: VNCPasswd Démarrer le serveur VNC: VNCServer: 1-localHostNo
Conseils de configuration du pare-feu Debian Mail ServerApr 13, 2025 am 11:42 AMLa configuration du pare-feu d'un serveur de courrier Debian est une étape importante pour assurer la sécurité du serveur. Voici plusieurs méthodes de configuration de pare-feu couramment utilisées, y compris l'utilisation d'iptables et de pare-feu. Utilisez les iptables pour configurer le pare-feu pour installer iptables (sinon déjà installé): Sudoapt-getUpDaSuDoapt-getinstalliptableView Règles actuelles iptables: Sudoiptable-L Configuration
Méthode d'installation du certificat de Debian Mail Server SSLApr 13, 2025 am 11:39 AMLes étapes pour installer un certificat SSL sur le serveur de messagerie Debian sont les suivantes: 1. Installez d'abord la boîte à outils OpenSSL, assurez-vous que la boîte à outils OpenSSL est déjà installée sur votre système. Si ce n'est pas installé, vous pouvez utiliser la commande suivante pour installer: Sudoapt-getUpDaSuDoapt-getInstallOpenSSL2. Générer la clé privée et la demande de certificat Suivant, utilisez OpenSSL pour générer une clé privée RSA 2048 bits et une demande de certificat (RSE): OpenSS
Méthode de configuration de Debian Mail Server Virtual HostApr 13, 2025 am 11:36 AMLa configuration d'un hôte virtuel pour les serveurs de messagerie sur un système Debian implique généralement l'installation et la configuration des logiciels de serveur de messagerie (tels que PostFix, EXIM, etc.) plutôt que Apache HttpServer, car Apache est principalement utilisé pour les fonctions de serveur Web. Voici les étapes de base pour configurer un hôte virtuel de serveur de messagerie: installer Postfix Mail Server Update System Pack
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Dreamweaver Mac
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
SublimeText3 Linux nouvelle version
Dernière version de SublimeText3 Linux
Version Mac de WebStorm
Outils de développement JavaScript utiles
Listes Sec
SecLists est le compagnon ultime du testeur de sécurité. Il s'agit d'une collection de différents types de listes fréquemment utilisées lors des évaluations de sécurité, le tout en un seul endroit. SecLists contribue à rendre les tests de sécurité plus efficaces et productifs en fournissant facilement toutes les listes dont un testeur de sécurité pourrait avoir besoin. Les types de listes incluent les noms d'utilisateur, les mots de passe, les URL, les charges utiles floues, les modèles de données sensibles, les shells Web, etc. Le testeur peut simplement extraire ce référentiel sur une nouvelle machine de test et il aura accès à tous les types de listes dont il a besoin.
