确保其 Debian 的机器

zh:确保其 Debian 的机器 ro: he:אבטחת הרכב דביאן שלה ru:Обеспечение его машины под управлением Debian pl:Zabezpieczanie swojej maszynie Debiana ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

这篇文章是从由软件进行自动翻译。你可以看到这篇文章的源代码

<号 trad>

介绍

确保他的机器的安全是重要的一点，不应低估调查成为各种攻击的目标。目前的电脑今天使蛮力攻击技术入侵权力或 强制性 非常容易实现的目标在一个短时间机器管理员访问。
此页面上，你会发现为了保护 Debian 服务器上不同的点，如根帐户，SSH 访问，防火墙，等轨道非详尽清单......

您 Debian 的系统保持最新，请确保你有官方的资料库更新的列表。你可以找到在 Ikoula 资料库和安装说明的可用列表

 apt-get update
 apt-get upgrade 

.

用户目录

默认情况下，Debian 的系统上，用户目录都可以访问本计算机上的其他本地帐户。在这个地址 为了克服这个小故障中安全是需要重新配置的默认行为。

请确保目录是可读的只能由其各自所有者

 dpkg-reconfigure adduser

根访问

允许从帐户连接 根 后第一次使用通常不是个好主意。事实上该帐户 根 ou 超级用户 已向您的系统的完全访问权限。如果攻击者来访问帐户
超级用户 它将有总量控制您的计算机。

命令 sudo

为了减少的风险，例如，您可以添加用户，如果有必要，将得到的权利我们 超级用户 通过使用命令 sudo.

我们首先需要创建一个新用户

下一步，填写字段，以及密码，最好是将由组成的小写字母，大写的字母和数字。

我们现在将安装 sudo

 adduser votre_utilisateur

现在，我们的用户创建并安装 sudo 它将必须在要使用该命令的 sudo 组

 apt-get install sudo

从现在我们的用户可能会如果有必要，先于该命令你想使用 sudo 的权限运行

 usermod -a -G sudo votre_utilisateur

超级用户 .

在运行任何命令之前，将要求密码。

禁止 根 登录

现在，我们有另一个用户时，我们就可以例如防止从该帐户连接到我们的系统

 sudo cat /etc/password

root.

首先，您需要编辑的配置 ssh 服务文件

查找和编辑您的 sshd_config 文件中的以下行通过改变

  vi /etc/ssh/sshd_config

是啊 由 no.需要取消注释该行删符号 #.

记住，然后保存并关闭该配置文件。

  PermitRootLogin no

当 SSH 服务将重新启动您的更改将生效。

 /etc/init.d/ssh restart

通常，连接和验证您的系统上执行通过登录双 /密码。我们可以替换此方法是不可靠的密钥身份验证。
一旦更改执行期间每个新的连接系统会看是否试图进行连接的用户有一个有效的密钥，这已为此用户执行登录的权限。
虽然没有一种方法是万无一失身份验证密钥文件要求想要进入系统，它具有此文件的人。因此，我们可以加强安全与可以猜到的密码
蛮力 ' 几个缺点，但是，目前选中此方法后，它是迫切的需要密钥文件的连接，例如计算机在工作和家庭之间的位置无关。
您还需要手动添加的每个新的密钥文件会被允许访问您的系统，在这样一个例子向您的系统添加新用户或由授权的人访问。

更改默认端口

停止自动测试服务器发动最有效的方法之一是更改您的计算机上的默认 SSH 端口。 为此请编辑您的文件
'sshd_config

查找和编辑该文件的下一行通过更改的值通过一个选择

 vi /etc/ssh/sshd_config

重新启动 SSH 服务

# What ports, IPs and protocols we listen for
Port 22

 /etc/init.d/ssh restart

生成一个密钥对

Windows

您可以为 Windows 从 PuTTYgen 软件可生成您的密钥。

PuTTYgen sous Windows

Linux

在 linux 下，你可以键入下面的命令 :

复制一个密钥对

当生成对我们现在必须表明服务器有哪些人获得授权连接到我们的新用户。

为此我们系统的每个用户都有一个文件

 ssh-keygen

'ssh/authorized_keys 目前在本地目录中。

如果您当前正在生成密钥对 Debian 系统上可以使用下面的命令将自动复制到文件的关键。

或者您可以手动添加您的公钥到授权文件

如果.ssh 文件夹不存在我们用户的本地文件夹中我们创建它

 ssh-copy-id votre_utilisateur@IP_VotreServeur

现在我们需要创建一个文件

mkdir .ssh
chmod 700 .ssh

'authorized_keys 在我们的.ssh 文件夹

公共密钥然后添加到文件中，结果应该类似于以下示例

 vi .ssh/authorized_keys

它将保存并关闭该文件。

出于安全原因，我们将限制访问我们的文件

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

从现在起我们的用户被允许连接到这台机器。

Chroot 系统

建立了一所监狱，

 chmod 600 .ssh/authorized_keys

'chroot' 对于它的用户可以很好的解决方案，以确保其服务器。被囚禁在系统上用户可以有选择的股份减少到你甚至授权的订单。

你会发现更多的信息对
'chroot' 可在地址条及其实施

防火墙

强烈建议使用防火墙来保护您的系统。suivante 防火墙通常是第一道防线的您对外面的机器，它的确是他将去分析传递您的机器与外界之间的通信。
由于防火墙你都能够阻止或允许访问您的计算机从外面某些协议或端口，从而确保您的系统的安全。

安全策略

在防火墙的情况下就必须定义安全策略，以实现。没有有效的定义将相当随机选择的阻塞或权限的端口和协议。
因此，有的是需要提前定义明确的政策，为其计算机网络或他的机器的安全。

常用的各项政策包括政策
'白名单 和德 黑名单 .

白名单

政策的原则 白名单 是阻止进入无一例外的所有交通和显式允许唯一的端口和协议，我们是安全的绝对确保他们。 此安全策略相比有许多优点到 黑名单 .事实上所有交通未明确允许将被都阻止，这将阻止大多数我们一定不会有反射，安全的连接尝试。 这项政策的缺点之一就是必须定义每个端口或协议用于不会阻止我们的服务执行的义务 ( 例如议定书 》
http 在端口上 80 )因此，我们必须知道这台机器所使用的每个端口和维护规则时添加或删除服务。 有关出站在大多数情况下它不视为风险向所有授权，其实你应该知道离开您的计算机或网络的交通。然而，它建议留下一丝痕迹的出站安全。

黑名单

政策的原则 黑名单 是允许所有的传入通信，无一例外，显式阻止只有端口和协议，我们相信它们带来安全风险。 此安全策略有很多缺点相比
'白名单 .事实上允许进入不受任何限制的所有交通不都推荐，只在某个端口或显式建立的协议的情况下阻止涉及。 有关出站在大多数情况下它不视为风险向所有授权，其实你应该知道离开您的计算机或网络的交通。然而，它建议留下一丝痕迹的出站安全。

IPTables

IPTables 无疑是最著名的软件防火墙可用为 Debian。

这里有几个实际命令关于 :

安装 iptables

列出当前已建立的规则

 sudo apt-get install iptables

清除的既定的规则

 sudo iptables -L

添加一个规则

sudo iptables -F
sudo iptables -X

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

失败 2禁令

它可能有助于实现服务

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2

'失败 2禁令 ' 在您的系统以防止攻击的任何风险 蛮力 .其实服务 失败 2禁令 允许您禁止任何未能验证次数在机器上的为某一给定时间的人。

你会发现更多的信息对
'失败 2禁令 ' 在这篇文章可在地址及其实现 . suivante