OpenSSH Güvenli Hale Getirilmesi

OpenSSH istemci-sunucu mimarisinde güvenli olmayan bir ağ üzerinden güvenli bir kanal sağlayan Güvenli kabuk protokolüne dayanan bir güvenli ağ yardımcı program paketidir. OpenSSH, Tatu Ylönen tarafından geliştirilen ücretsiz SSH programının bir çatalı olarak başladı. Varsayılan olarak SSH servisini yapılandırmak için /etc/ssh/sshd_conf dosyasını düzenlememiz gerekiyor. Ne kadar veriler şifrelense de, varsayılan ayarlar ile SSH servisini kullanmak güvenli değildir.

SSH servisini güvenli hale getirmek için şimdi neler yapabileceğimize bakalım.

• Banner kullanmak faydalı olacaktır.
• Root hesabının SSH erişimi kapatılmalıdır.
• Varsayılan SSH erişim portu 22 yerine  farklı bir boş port ile değiştirilmelidir.
• PasswordAuthentication özelliği ile SSH erişimi parola yerine SSH Key kullanarak yapılmalıdır. 
• SSH Timeout süresi ayarlanmalıdır.
• MaxAuthTries seçeneği ile SSH üzerinde parola giriş denemesi sınırlandırılmalıdır.
• AllowUsers veya AllowGroups özelliği ile sadece belirli kullanıcıların ssh erişimi sağlanmalıdır.
• SSH public olarak internet üzerinden erişimi kapatılmalıdır. Bağlantılar VPN üzerinden sağlanmalıdır.
• ListenAddress özelliği ile, belirli IP adreslerinden erişim sağlanmalıdır. Bu işlemlere ek olarak Firewall veya HOST bazlı engelleme işlemleride gerçekleştirebilirsiniz.
• PermitEmptyPasswords özelliği ile boş parolalar ile SSH erişimi engellenmelidir.
• SSH 1. versiyonunda bir çok zafiyet vardır. Sunucunun 2. versiyonu kullanmasına dikkat edilmesi gerekir.
• LoginGraceTime ile oturum açma isteği yapıldıktan sonra, şifre girilmesi için verilecek süre belirlenmelidir.
• X11Forwarding özelliği ile X11 yönlendirmeler kapatılmalıdır.
• PAM kullanılması