SSHを保護するための基本的な入門書

これは、SSHを使用していて安全性を維持したい場合に慎重に検討したい主な事項のSSL.comからの要約です。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

(スーパーセキュア)シンプルなセキュアシェル

セキュアなSSHには鍵交換が重要です
セキュアなSSHには鍵交換が重要です

それに直面しましょう セキュアシェル (または SSH)のプロットと同じくらい混乱する可能性があります 映画プライマー。 しかし、映画のように、それは努力する価値があります。 あなたが見つけることができますが セキュアセキュアシェルの完全ガイド オンラインでは、SSHを使用するときに本当に安全を確保したい場合に従う必要のあるいくつかのベストプラクティスの概要を説明します。 正しく設定されていないと、聞き取りが簡単なことに驚かれるかもしれません。

SSHを保護するためのベストプラクティス

ここでは、SSHを使用していて安全性を維持したい場合に慎重に検討したい主な事項の概要を示します。

  • キー交換 –基本的には、Diffie-HellmanまたはElliptic CurveDiffie-Hellmanを使用して鍵交換を行います。 これは、どちらも前方秘密を提供し、人々が詮索するのを困難にするためです。 ご存知かもしれませんが、OpenSSHは現在8つの鍵交換プロトコルをサポートしています。 使いたいものは Curve25519-sha256:ECDH以上 カーブ25519 SHA2または ディフィー・ヘルマン・グループ・エクスチェンジ・シャ256:SHA2を使用したカスタムDH。
  • サーバー認証 –サーバー認証には1つの公開鍵アルゴリズムを使用できます。 これらXNUMXつのうち、(安全であるための)最善の策は、サーバー認証のニーズにSHAXNUMXでRSAを使用することです。 秘訣は、使用しない公開鍵アルゴリズムを確実に無効にすることです。 これは、いくつかのコマンドで簡単に処理できます。 initファイルが、使用したくないキーをリロードしないようにしてください。
  • クライアント認証 –より安全なものをセットアップしたら、ブルートフォース攻撃に対して脆弱なパスワード認証を無効にする必要があります。 サーバー側と同様に、公開鍵認証を使用する方がはるかに優れています。 もうXNUMXつのオプションは、OTP(ワンタイムパスワード)を使用して、悪意のあるユーザーが安全なデータ接続を覗き見してあなたについてもっと知ることを困難にすることです。
  • ユーザー認証 –これは、真に安全なSSH接続を受け入れるようにサーバーを設定する際の重要な側面です。 基本的に、許可されたユーザーのホワイトリストを作成します。 これを行うと、リストにないユーザーがサインインしようとしてもブロックされます。 SSH経由でサーバーに接続するユーザーが多数いる場合は、AllowUserではなくAllowGroupsを使用することをお勧めしますが、これは比較的簡単に設定できます。
  • 対称暗号 –対称暗号に関しては、いくつかのアルゴリズムを利用できます。 繰り返しになりますが、セキュリティに最適なものを選択するのはあなた次第です。 この場合、chacha20-poly1305 @ openssh.com、aes256-gcm @ openssh.com、aes128-gcm @ openssh.com、aes256-ctr、aes192-ctr、およびaes128-ctrを使用することになります。
  • メッセージ認証コード – AE暗号モードを使用している場合、MACはすでに含まれているため、心配する必要はありません。 一方、CTRルートを使用した場合は、MACを使用してすべてのメッセージにタグを付ける必要があります。 SSHを使用するときに可能な限り安全であることを確認したい場合は、Encrypt-then-MACを使用する必要がある唯一の方法です。
  • トラフィック分析 –最後になりましたが、使用したいと思うでしょう Tor隠しサービス SSHサーバー用。 これを使用することで、さらに別の保護層を追加して、悪者にとってさらに困難にすることができます。 LANを使用していない場合は、必ずオフにしてください。

上記のすべてをチェックして変更したら、実行したいと思うでしょう ssh-v システムに加えた変更を確認するため。 この単純なコマンドは、使用することを決定したすべてのアルゴリズムを一覧表示するため、作業を簡単に再確認できます。

また、システムを強化してください!

これらは良いヒントです どれか サーバーはインターネットに接続されていますが、SSH接続を可能な限り安全にするためにも非常に役立ちます。

  • 必要なソフトウェアのみをインストールする。 コードが多いほど、悪意のあるハッカーが使用できるバグやエクスプロイトの機会が多くなります。
  •   FOSS (フリー/オープンソースソフトウェア)ソースコードにアクセスできることを確認できる場合。 これにより、自分でコードを確認できます。
  • ソフトウェアを更新する できるだけ頻繁に。 これは、悪意のあるユーザーによって悪用される可能性のある既知の問題を回避するのに役立ちます。

すでに述べたように、上記のヒントは、サーバーへのSSH接続を保護しようとしているかどうかに関係なく、実行する必要があることです。

SSLのテイクアウト

SSLの要点は、名前に「セキュア」または「セキュリティ」という単語が含まれていても、正しく設定しないと、攻撃に対して可能な限り強化されるわけではないということです。 サーバーを担当していて、SSHを頻繁に使用してサーバーに接続する(または他の人に接続を許可する)場合は、時間をかけてサーバーを正しくセットアップし、最大限のセキュリティを確保する必要があります。

SSL.comでは、 SSLのベストプラクティス 可能な限り理解し、実装するのが簡単です。

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。