最新のDebian Stretchでは、次の条件でOpenSSHサーバーをインストールしました。
- ルートログインなし
- パスワードのない認証/必須公開鍵認証
sshusers
このグループのユーザーのみを認証します。- ユーザーごとに3つの同時接続
- ログイン試行ごとに1回の認証試行
- 認証タイムアウト20秒
最新のOpenSSHを使用しています。OpenSSH_7.4p1 Debian-10+deb9u6, OpenSSL 1.0.2r 26 Feb 2019
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
Protocol 2
KerberosAuthentication no
GSSAPIAuthentication no
AddressFamily inet
Port 22
HostKey /etc/ssh/ssh_host_rsa_key
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
LoginGraceTime 20s
MaxAuthTries 1
MaxStartups 3
AuthorizedKeysFile .ssh/authorized_keys
PermitRootLogin no
AllowGroups sshusers
上記の構成は2005年の記事に基づいて作成され、これについて最大限理解しようとしました。だから、もう使用されていないことを知って削除RSAAuthentication
し、DSAからRSAに移動しました。
私の質問は、この設定が安全ですか、それとも重要なものを見逃しているのでしょうか、それとも何かを間違って設定したのでしょうか?
マニュアルページを掘り下げましたが、すべてを実際に理解しているわけではありません。
答え1
Arcfour、フグ、Triple DESなどの弱いパスワードのサポートを無効にできます。