3 способа защитить SSH-сервер в Linux



SSH является удивительным, поскольку он позволяет нам получить доступ к терминалу для других ПК и серверов Linux по сети или даже в Интернете! Тем не менее, так же удивительно, как и эта технология, есть некоторые вопиющие проблемы безопасности, которые делают ее небезопасной. Если вы обычный пользователь, нет необходимости устанавливать сложные инструменты безопасности SSH. Вместо этого рассмотрите следующие основные шаги для защиты SSH-сервера от Linux.

Изменить порт подключения по умолчанию



На сегодняшний день самым быстрым и простым способом защиты SSH-сервера является изменение используемого порта. По умолчанию сервер SSH работает на порту 22. Чтобы изменить его, откройте окно терминала. Внутри окна терминала SSH на удаленный ПК, на котором размещен SSH-сервер.

ssh user @ local-ip-address

Войдя в систему, перейдите от обычного пользователя к Root. Если у вас есть учетная запись Root, вход в систему с su является хорошим выбором. Кроме того, вам нужно получить доступ к sudo.

su -

или

sudo -s


Теперь, когда у вас есть доступ администратора, откройте файл конфигурации SSH в Nano.

nano / etc / ssh / sshd_config

Прокрутите конфигурационный файл для «Port 22». Удалите #, если он есть, затем измените «22» на другой номер. Как правило, достаточно порта более 100 или даже одного в диапазоне 1000. После изменения номера порта нажмите комбинацию клавиш Ctrl + O, чтобы сохранить изменения. Затем выйдите из редактора, нажав Ctrl + X.

Редактирование файла конфигурации не приведет к немедленному переключению вашего SSH-сервера на правильный порт. Вместо этого вам необходимо вручную перезапустить службу. 

systemctl restart sshd

Запуск команды systemctl должен перезагрузить daemon SSH и применить новые настройки. Если перезапуск daemon не удался, другой вариант заключается в перезагрузке вашего SSH-сервера: 

reebot


После перезапуска daemon 
(или машины) SSH не будет доступен через порт 22. В результате для подключения через SSH требуется вручную указать порт.

Примечание: обязательно измените «1234» на порт, указанный в файле конфигурации SSH.

ssh -p 1234 user @ local-ip-address

Отключить пароль


Еще один отличный способ защитить SSH-сервер - это удалить пароль и вместо этого перейти к регистрации через SSH-ключи. Переход по ключевому маршруту SSH создает круг доверия между вашим SSH-сервером и удаленными машинами с вашим ключом. Это зашифрованный файл паролей, который трудно взломать.

Настройте ключ SSH на своем сервере. Когда у вас установлены ключи, откройте терминал и откройте файл конфигурации SSH.

su -

или

sudo -s


Затем откройте конфигурацию в Nano с помощью:

nano / etc / ssh / sshd_config

По умолчанию серверы SSH обрабатывают аутентификацию через пароль пользователя. Если у вас есть безопасный пароль, это хороший способ, но зашифрованный SSH-ключ на доверенных машинах быстрее, удобнее и безопаснее. Чтобы завершить переход на «вход в систему без пароля», зайдите в конфигурационный файл SSH. Внутри этого файла прокрутите и найдите запись с надписью «PasswordAuthentication».

Удалите символ # перед «PasswordAuthentication» и убедитесь, что перед ним есть слово «No». Если все выглядит хорошо, сохраните изменения в конфигурации SSH, нажав Ctrl + O на клавиатуре.

После сохранения конфигурации закройте Nano с помощью Ctrl + X и перезапустите SSHD, чтобы применить изменения.

systemctl restart sshd


Если вы не используете systemd, попробуйте перезапустить SSH с помощью этой команды:

service ssh restart

В следующий раз, когда удаленный компьютер попытается войти в этот SSH-сервер, он проверит правильные ключи и включит их без пароля.

Отключить учетную запись root



Отключение корневой учетной записи на вашем SSH-сервере - способ уменьшить ущерб, который может произойти, когда неавторизованный пользователь получает доступ к SSH. Чтобы отключить учетную запись Root, необходимо, чтобы по крайней мере один пользователь на вашем SSH-сервере мог получить Root через sudo. Это гарантирует, что вы все равно сможете получить доступ к системному уровню, если вам это нужно, без пароля Root.

Примечание. Убедитесь, что пользователи, которые имеют доступ к привилегии Root через sudo, имеют безопасный пароль или отключают учетную запись суперпользователя.

Чтобы отключить Root, поднимите терминал на привилегии суперпользователя:

sudo -s

Использование sudo -s обходит необходимость входа в систему с su и вместо этого предоставляет корневую оболочку через файл sudoers. Теперь, когда оболочка имеет доступ суперпользователя, запустите команду пароля и скремблируйте учетную запись Root с помощью -lock.

passwd --lock root

Выполнение вышеуказанной команды скремблирует пароль учетной записи Root, поэтому вход в систему через su невозможен. С этого момента пользователи могут использовать только SSH в качестве локального пользователя, а затем переключиться на учетную запись Root с помощью привилегий sudo.
3 способа защитить SSH-сервер в Linux 3 способа защитить SSH-сервер в Linux Reviewed by Admin on июля 02, 2018 Rating: 5

Комментариев нет: