3 начина за осигуряване на SSH сървър на Linux

SSH е страхотно, тъй като ни позволява да получим терминален достъп до други Linux компютри и сървъри през мрежата или дори интернет! И все пак, колкото и невероятна да е тази технология, има някои страхотни проблеми със сигурността, които правят използването й опасно. Ако сте среден потребител, няма реална нужда да инсталирате сложни SSH инструменти за сигурност. Вместо това, помислете за следването на тези основни стъпки за осигуряване на SSH сървър в Linux.

Промяна на порт за връзка по подразбиране

Най-бързият и лесен начин за осигуряване на SSH сървър е да промените порта, който използва. По подразбиране SSH сървър работи на порт 22. За да го промените, отворете прозорец на терминала. В прозореца на терминала, SSH към отдалечения компютър, хостващ SSH сървъра.

ssh user @ local-ip-address

След като влезете, пуснете от обикновен потребител към Root. Ако имате акаунта Root, влезте с су е добър избор. Иначе ще трябва да получите достъп Sudo.

су -

или

sudo -s

Сега, когато имате администраторски достъп, отворете SSH конфигурационния файл в Nano.

nano / etc / ssh / sshd_config

Превъртете конфигурационния файл за „Порт 22“. Премахни # ако има такъв, тогава променете “22 ″ към друго число. Обикновено порт над 100 или дори един в обхвата от 1000 ще е достатъчен. След промяна на номера на порта, натиснете Ctrl + O комбинация от клавиатура, за да запазите редакциите. След това излезте от редактора, като натиснете Ctrl + X.

Редактирането на конфигурационния файл няма да превключи незабавно вашия SSH сървър към използване на правилния порт. Вместо това ще трябва ръчно да рестартирате услугата.

systemctl рестартирайте sshd

Изпълнението на командата systemctl трябва да рестартира демона SSH и да приложи новите настройки. Ако рестартирането на демон не успее, друга възможност е да рестартирате вашата SSH сървър машина:

рестартиране

След рестартиране на демон (или машина), SSH няма да бъде достъпен през порт 22. В резултат на това свързването през SSH изисква ръчно посочване на порта.

Забележка: не забравяйте да промените „1234“ с порта, зададен в конфигурационния файл SSH.

ssh -p 1234 потребител @ local-ip-address

Деактивиране на влизане с парола

Друг чудесен начин да защитите SSH сървър е да премахнете влизане с парола и вместо това да преминете към влизане чрез SSH ключове. Преминаването на маршрута на SSH ключ създава кръг на доверие между вашия SSH сървър и отдалечени машини, които имат вашия ключ. Това е криптиран файл с парола, който е трудно да се счупи.

Настройте с SSH ключ на вашия сървър. Когато настроите ключовете, отворете терминал и отворете конфигурационния файл SSH.

су -

или

sudo -s

След това отворете конфигурацията в Nano с:

nano / etc / ssh / sshd_config

По подразбиране SSH сървърите обработват удостоверяването чрез паролата на потребителя. Ако имате защитена парола, това е добър начин да продължите, но шифриран SSH ключ на надеждни машини е по-бърз, по-удобен и сигурен. За да завършите прехода към „без парола вход“, погледнете в конфигурационния файл SSH. Вътре в този файл, превъртете през и намерете записа, който казва "PasswordAuthentication".

Извадете символа # отпред пред „PasswordAuthentication“ и се уверете, че има думата „не“ пред себе си. Ако всичко изглежда добре, запишете редакциите в SSH конфигурацията, като натиснете Ctrl + O на клавиатурата.

След като запазите конфигурацията, затворете Nano с Ctrl + Xи рестартирайте SSHD, за да приложите промените.

systemctl рестартирайте sshd

Ако не използвате systemd, опитайте да рестартирате SSH вместо тази команда:

рестартиране на ssh услуга

Следващия път, когато отдалечена машина се опита да влезе в този SSH сървър, тя ще провери за правилните клавиши и ще ги пусне, без парола.

Деактивирайте корен акаунт

Деактивирането на Root акаунта на вашия SSH сървър е начин за смекчаване на щетите, които могат да възникнат, когато неоторизиран потребител получи достъп през SSH. За да деактивирате Root акаунта, е задължително поне един потребител на вашия SSH сървър да може да получи Root чрез sudo. Това ще гарантира, че все още можете да получите достъп на системно ниво, ако имате нужда, без паролата Root.

Забележка: бъдете сигурни, че потребителите, които имат достъп до привилегиите Root чрез sudo, имат защитена парола или деактивирането на акаунта на суперусер е безсмислено.

За да деактивирате Root, повишете терминала до права на суперпотребител:

sudo -s

Използването на sudo -s заобикаля необходимостта да влезете с суи вместо това предоставя коренова обвивка чрез файла sudoers. Сега, когато черупката има достъп до суперпотребител, стартирайте парола командвайте и бъркайте акаунта на Root -ключалка.

passwd --lock корен

Изпълняването на горната команда кодира паролата на Root акаунта, така че влизането чрез су е невъзможно. Отсега нататък потребителите могат само SSH да бъдат като локален потребител, след което да преминат към Root акаунт чрез привилегии sudo.