Изменить порт подключения по умолчанию
На сегодняшний день самым быстрым и простым способом защиты SSH-сервера является изменение используемого порта. По умолчанию сервер SSH работает на порту 22. Чтобы изменить его, откройте окно терминала. Внутри окна терминала SSH на удаленный ПК, на котором размещен SSH-сервер.
ssh user @ local-ip-address
Войдя в систему, перейдите от обычного пользователя к Root. Если у вас есть учетная запись Root, вход в систему с su является хорошим выбором. Кроме того, вам нужно получить доступ к sudo.
Войдя в систему, перейдите от обычного пользователя к Root. Если у вас есть учетная запись Root, вход в систему с su является хорошим выбором. Кроме того, вам нужно получить доступ к sudo.
su -
или
sudo -s
Теперь, когда у вас есть доступ администратора, откройте файл конфигурации SSH в Nano.
Теперь, когда у вас есть доступ администратора, откройте файл конфигурации SSH в Nano.
nano / etc / ssh / sshd_config
Прокрутите конфигурационный файл для «Port 22». Удалите #, если он есть, затем измените «22» на другой номер. Как правило, достаточно порта более 100 или даже одного в диапазоне 1000. После изменения номера порта нажмите комбинацию клавиш Ctrl + O, чтобы сохранить изменения. Затем выйдите из редактора, нажав Ctrl + X.
Редактирование файла конфигурации не приведет к немедленному переключению вашего SSH-сервера на правильный порт. Вместо этого вам необходимо вручную перезапустить службу.
Прокрутите конфигурационный файл для «Port 22». Удалите #, если он есть, затем измените «22» на другой номер. Как правило, достаточно порта более 100 или даже одного в диапазоне 1000. После изменения номера порта нажмите комбинацию клавиш Ctrl + O, чтобы сохранить изменения. Затем выйдите из редактора, нажав Ctrl + X.
Редактирование файла конфигурации не приведет к немедленному переключению вашего SSH-сервера на правильный порт. Вместо этого вам необходимо вручную перезапустить службу.
systemctl restart sshd
Запуск команды systemctl должен перезагрузить daemon SSH и применить новые настройки. Если перезапуск daemon не удался, другой вариант заключается в перезагрузке вашего SSH-сервера:
Запуск команды systemctl должен перезагрузить daemon SSH и применить новые настройки. Если перезапуск daemon не удался, другой вариант заключается в перезагрузке вашего SSH-сервера:
reebot
После перезапуска daemon (или машины) SSH не будет доступен через порт 22. В результате для подключения через SSH требуется вручную указать порт.
Примечание: обязательно измените «1234» на порт, указанный в файле конфигурации SSH.
После перезапуска daemon (или машины) SSH не будет доступен через порт 22. В результате для подключения через SSH требуется вручную указать порт.
Примечание: обязательно измените «1234» на порт, указанный в файле конфигурации SSH.
ssh -p 1234 user @ local-ip-address
Еще один отличный способ защитить SSH-сервер - это удалить пароль и вместо этого перейти к регистрации через SSH-ключи. Переход по ключевому маршруту SSH создает круг доверия между вашим SSH-сервером и удаленными машинами с вашим ключом. Это зашифрованный файл паролей, который трудно взломать.
Настройте ключ SSH на своем сервере. Когда у вас установлены ключи, откройте терминал и откройте файл конфигурации SSH.
Отключить пароль
Еще один отличный способ защитить SSH-сервер - это удалить пароль и вместо этого перейти к регистрации через SSH-ключи. Переход по ключевому маршруту SSH создает круг доверия между вашим SSH-сервером и удаленными машинами с вашим ключом. Это зашифрованный файл паролей, который трудно взломать.
Настройте ключ SSH на своем сервере. Когда у вас установлены ключи, откройте терминал и откройте файл конфигурации SSH.
su -
или
sudo -s
Затем откройте конфигурацию в Nano с помощью:
Затем откройте конфигурацию в Nano с помощью:
nano / etc / ssh / sshd_config
По умолчанию серверы SSH обрабатывают аутентификацию через пароль пользователя. Если у вас есть безопасный пароль, это хороший способ, но зашифрованный SSH-ключ на доверенных машинах быстрее, удобнее и безопаснее. Чтобы завершить переход на «вход в систему без пароля», зайдите в конфигурационный файл SSH. Внутри этого файла прокрутите и найдите запись с надписью «PasswordAuthentication».
Удалите символ # перед «PasswordAuthentication» и убедитесь, что перед ним есть слово «No». Если все выглядит хорошо, сохраните изменения в конфигурации SSH, нажав Ctrl + O на клавиатуре.
После сохранения конфигурации закройте Nano с помощью Ctrl + X и перезапустите SSHD, чтобы применить изменения.
По умолчанию серверы SSH обрабатывают аутентификацию через пароль пользователя. Если у вас есть безопасный пароль, это хороший способ, но зашифрованный SSH-ключ на доверенных машинах быстрее, удобнее и безопаснее. Чтобы завершить переход на «вход в систему без пароля», зайдите в конфигурационный файл SSH. Внутри этого файла прокрутите и найдите запись с надписью «PasswordAuthentication».
Удалите символ # перед «PasswordAuthentication» и убедитесь, что перед ним есть слово «No». Если все выглядит хорошо, сохраните изменения в конфигурации SSH, нажав Ctrl + O на клавиатуре.
После сохранения конфигурации закройте Nano с помощью Ctrl + X и перезапустите SSHD, чтобы применить изменения.
systemctl restart sshd
Если вы не используете systemd, попробуйте перезапустить SSH с помощью этой команды:
Если вы не используете systemd, попробуйте перезапустить SSH с помощью этой команды:
service ssh restart
В следующий раз, когда удаленный компьютер попытается войти в этот SSH-сервер, он проверит правильные ключи и включит их без пароля.
Отключить учетную запись root
Отключение корневой учетной записи на вашем SSH-сервере - способ уменьшить ущерб, который может произойти, когда неавторизованный пользователь получает доступ к SSH. Чтобы отключить учетную запись Root, необходимо, чтобы по крайней мере один пользователь на вашем SSH-сервере мог получить Root через sudo. Это гарантирует, что вы все равно сможете получить доступ к системному уровню, если вам это нужно, без пароля Root.
Примечание. Убедитесь, что пользователи, которые имеют доступ к привилегии Root через sudo, имеют безопасный пароль или отключают учетную запись суперпользователя.
Чтобы отключить Root, поднимите терминал на привилегии суперпользователя:
sudo -s
Использование sudo -s обходит необходимость входа в систему с su и вместо этого предоставляет корневую оболочку через файл sudoers. Теперь, когда оболочка имеет доступ суперпользователя, запустите команду пароля и скремблируйте учетную запись Root с помощью -lock.
Использование sudo -s обходит необходимость входа в систему с su и вместо этого предоставляет корневую оболочку через файл sudoers. Теперь, когда оболочка имеет доступ суперпользователя, запустите команду пароля и скремблируйте учетную запись Root с помощью -lock.
passwd --lock root
Выполнение вышеуказанной команды скремблирует пароль учетной записи Root, поэтому вход в систему через su невозможен. С этого момента пользователи могут использовать только SSH в качестве локального пользователя, а затем переключиться на учетную запись Root с помощью привилегий sudo.
Выполнение вышеуказанной команды скремблирует пароль учетной записи Root, поэтому вход в систему через su невозможен. С этого момента пользователи могут использовать только SSH в качестве локального пользователя, а затем переключиться на учетную запись Root с помощью привилегий sudo.