Secure Shell (SSH), parfois appelé Secure Socket Shell, est une interface de commande et un protocole basés sur UNIX permettant d'accéder en toute sécurité à un ordinateur distant. Il est largement utilisé par les administrateurs réseau pour contrôler à distance les serveurs Web et autres types de serveurs.
SSH est en fait une suite de trois utilitaires – slogin, ssh et scp – qui sont des versions sécurisées des utilitaires UNIX antérieurs, rlogin, rsh et rcp. Les commandes SSH sont cryptées et sécurisées de plusieurs manières. Les deux extrémités de la connexion client/serveur sont authentifiées à l'aide d'un certificat numérique et les mots de passe sont protégés par cryptage.
Ces mesures peuvent être prises pour sécuriser votre serveur, avec un accès SSH. Mettez à jour le système d'exploitation, Apache et CPanel vers les dernières versions stables. Cela peut être fait à partir de WHM/CPanel. Restreindre l'accès SSH Pour restreindre et sécuriser l'accès SSH, liez sshd à une seule adresse IP différente de l'adresse IP principale du serveur et sur un port différent du port 22. Connectez-vous en SSH au serveur et connectez-vous en tant que root. À l'invite de commande, tapez : vi /etc/ssh/sshd_config Faites défiler jusqu'à la section du fichier qui ressemble à ceci : Port 22 Protocole 2, 1 ListenAddress 0.0.0.0 ListenAddress : Décommentez et modifiez le port 22 pour qu'il ressemble au port 5678 (choisissez votre propre numéro de port à 4 à 5 chiffres (49151 est le numéro de port le plus élevé) Décommentez et modifiez le protocole 2, 1 pour qu'il ressemble au protocole 2 Décommentez et modifiez ListenAddress 0.0.0.0 pour qu'il ressemble à ListenAddress 123.123.123.15 (utilisez l'une de vos propres adresses IP qui a été attribué à votre serveur) Remarque 1 : Si vous souhaitez désactiver la connexion racine directe, faites défiler vers le bas jusqu'à ce que vous trouviez PermitRootLogin oui, décommentez-le et faites-le ressembler à PermitRootLogin non Enregistrer en appuyant sur Ctrl o sur votre clavier, puis quittez en appuyant sur Ctrl x sur votre clavier. Remarque 2 : Vous pouvez également créer un serveur de noms personnalisé spécifiquement pour votre nouvelle adresse IP SSH. Créez-en simplement un appelé quelque chose comme ssh.xyz.com ou autre. Assurez-vous d'ajouter une adresse A à votre zone fichier pour le nouveau serveur de noms. Maintenant, redémarrez SSH. À l'invite de commande, tapez : /etc/rc.d/init.d/sshd restart Quittez SSH, puis reconnectez-vous à SSH en utilisant la nouvelle adresse IP ou le nouveau serveur de noms et le nouveau port. . Remarque : si vous rencontrez des problèmes, connectez-vous simplement par Telnet à votre serveur, résolvez le problème, puis connectez-vous à nouveau via SSH. Telnet est un protocole très non sécurisé, alors changez votre mot de passe root après l'avoir utilisé. Désactiver Telnet Pour désactiver Telnet, connectez-vous en SSH au serveur et connectez-vous en tant que root. À l'invite de commande, tapez : vi /etc/xinetd.d/telnet, modifiez désactiver = non pour désactiver = oui. Enregistrer et quitter. À l'invite de commande, tapez : /etc/init.d/xinetd restart E-mail du serveur à chaque fois que quelqu'un se connecte en tant que root. demandez au serveur de vous envoyer un e-mail à chaque fois que quelqu'un se connecte en tant que root, SSH au serveur et se connecte en tant que root. À l'invite de commande, tapez : pico .bash_profile Faites défiler jusqu'à la fin du fichier et ajoutez la ligne suivante : echo 'ALERT – Root Shell Access on:'
Prenez contact avec nous. date
OMS
| mail -s « Alerte : accès root depuis qui | awk '{imprimer $6}'
” [email protected]
Sauvegarder et quitter. Définir un message légal SSH Pour un message légal SSH, connectez-vous en SSH au serveur et connectez-vous en tant que root. À l'invite de commande, tapez : vi /etc/motd Entrez votre message, enregistrez et quittez. Remarque : j'utilise le message suivant… ALERTE ! Vous entrez dans une zone sécurisée ! Votre IP et vos informations de connexion ont été enregistrées. L'administration du système a été informée. Ce système est limité à un accès autorisé uniquement. Toutes les activités sur ce système sont enregistrées et enregistrées. Tout accès non autorisé fera l'objet d'une enquête approfondie et sera signalé aux forces de l'ordre appropriées. » Désormais, chaque fois que quelqu'un se connecte en tant que root, il verra ce message… Désactiver les comptes Shell Désactiver la sortie d'identification pour Apache Pour désactiver la sortie de version pour proftp, connectez-vous en SSH au serveur. et connectez-vous en tant que root. À l'invite de commande, tapez : vi /etc/httpd/conf/httpd.conf Faites défiler vers le bas et remplacez la ligne suivante par ServerSignature Off. Redémarrez Apache. À l'invite de commande, tapez : /etc/rc.d/init.d/httpd restart
Abonnez-vous pour les dernières mises à jour
Articles Similaires