3 τρόποι για να ασφαλίσετε έναν διακομιστή SSH σε Linux

SSH είναι φοβερό, καθώς μας επιτρέπει να αποκτήσουμε πρόσβαση τερματικού σε άλλους υπολογιστές και διακομιστές Linux μέσω του δικτύου ή ακόμα και στο Διαδίκτυο! Ακόμα, για όσο καταπληκτική είναι αυτή η τεχνολογία, υπάρχουν μερικά εκθαμβωτικά ζητήματα ασφαλείας που το καθιστούν μη ασφαλές. Εάν είστε μέσος χρήστης, δεν υπάρχει πραγματική ανάγκη εγκατάστασης περίπλοκων εργαλείων ασφαλείας SSH. Αντ 'αυτού, εξετάστε το ενδεχόμενο να ακολουθήσετε αυτά τα βασικά βήματα για να ασφαλίσετε έναν διακομιστή SSH σε Linux.

Αλλαγή προεπιλεγμένης θύρας σύνδεσης

Με μακράν ο πιο γρήγορος και ευκολότερος τρόπος για να ασφαλίσετε έναν διακομιστή SSH είναι να αλλάξετε τη θύρα που χρησιμοποιεί. Από προεπιλογή, ο διακομιστής SSH εκτελείται στη θύρα 22. Για να το αλλάξετε, ανοίξτε ένα παράθυρο τερματικού. Μέσα στο παράθυρο του τερματικού, SSH στον απομακρυσμένο υπολογιστή που φιλοξενεί διακομιστή SSH.

ssh user @ local-ip-address

Μόλις συνδεθείτε, μεταβείτε από έναν κανονικό χρήστη στο Root. Εάν έχετε ενεργοποιήσει τον λογαριασμό Root, συνδεθείτε με

σου είναι μια καλή επιλογή. Διαφορετικά, θα πρέπει να αποκτήσετε πρόσβαση με sudo.

su -

ή

sudo -s

Τώρα που έχετε πρόσβαση διαχειριστή, ανοίξτε το αρχείο διαμόρφωσης SSH στο Nano.

nano / etc / ssh / sshd_config

Μετακινηθείτε στο αρχείο διαμόρφωσης για το "Port 22". Αφαιρέστε το # αν υπάρχει, τότε αλλάξτε “22 ″ σε άλλο αριθμό. Συνήθως, αρκεί μια θύρα άνω των 100, ή ακόμη και μία στο εύρος 1.000. Αφού αλλάξετε τον αριθμό θύρας, πατήστε το Ctrl + O συνδυασμός πληκτρολογίου για αποθήκευση των τροποποιήσεων. Στη συνέχεια, βγείτε από τον επεξεργαστή πατώντας Ctrl + X.

Η επεξεργασία του αρχείου διαμόρφωσης δεν πρόκειται να αλλάξει αμέσως τον διακομιστή SSH στη χρήση της σωστής θύρας. Αντ 'αυτού, θα πρέπει να κάνετε επανεκκίνηση της υπηρεσίας με μη αυτόματο τρόπο.

systemctl επανεκκίνηση sshd

Η εκτέλεση της εντολής systemctl θα πρέπει να επανεκκινήσει τον δαίμονα SSH και να εφαρμόσει τις νέες ρυθμίσεις. Εάν η επανεκκίνηση του δαίμονα αποτύχει, μια άλλη επιλογή είναι η επανεκκίνηση του υπολογιστή σας διακομιστή SSH:

επανεκκινήστε

Μετά την επανεκκίνηση του δαίμονα (ή του μηχανήματος), το SSH δεν θα είναι προσβάσιμο μέσω της θύρας 22. Ως αποτέλεσμα, η σύνδεση μέσω SSH απαιτεί χειροκίνητο καθορισμό της θύρας.

Σημείωση: φροντίστε να αλλάξετε το "1234" με τη θύρα που έχει οριστεί στο αρχείο διαμόρφωσης SSH.

ssh -p 1234 user @ local-ip-address

Απενεργοποίηση σύνδεσης κωδικού πρόσβασης

Ένας άλλος πολύ καλός τρόπος για να εξασφαλίσετε έναν διακομιστή SSH είναι να αφαιρέσετε τον κωδικό πρόσβασης και αντί να μεταβείτε στη σύνδεση μέσω κλειδιών SSH. Η μετάβαση στη διαδρομή κλειδιού SSH δημιουργεί έναν κύκλο εμπιστοσύνης μεταξύ του διακομιστή SSH και των απομακρυσμένων μηχανών που διαθέτουν το κλειδί σας. Είναι ένα κρυπτογραφημένο αρχείο κωδικού πρόσβασης που είναι δύσκολο να σπάσει.

Ρύθμιση με κλειδί SSH στον διακομιστή σας. Όταν έχετε ρυθμίσει τα κλειδιά, ανοίξτε ένα τερματικό και ανοίξτε το αρχείο διαμόρφωσης SSH.

su -

ή

sudo -s

Στη συνέχεια, ανοίξτε τη διαμόρφωση στο Nano με:

nano / etc / ssh / sshd_config

Από προεπιλογή, οι διακομιστές SSH χειρίζονται τον έλεγχο ταυτότητας μέσω του κωδικού πρόσβασης του χρήστη. Εάν έχετε έναν ασφαλή κωδικό πρόσβασης, αυτός είναι ένας καλός τρόπος, αλλά ένα κρυπτογραφημένο κλειδί SSH σε αξιόπιστα μηχανήματα είναι ταχύτερο, πιο βολικό και ασφαλές. Για να ολοκληρώσετε τη μετάβαση σε "σύνδεση χωρίς κωδικό πρόσβασης", αναζητήστε το αρχείο διαμόρφωσης SSH. Μέσα σε αυτό το αρχείο, μετακινηθείτε μέσα και βρείτε την καταχώρηση που λέει "PasswordAuthentication".

Αφαιρέστε το σύμβολο # από ​​μπροστά από το "PasswordAuthentication" και βεβαιωθείτε ότι έχει τη λέξη "όχι" μπροστά του. Εάν όλα φαίνονται καλά, αποθηκεύστε τις αλλαγές στη διαμόρφωση SSH πατώντας Ctrl + O στο πληκτρολόγιο.

Αφού αποθηκεύσετε τη διαμόρφωση, κλείστε το Nano με Ctrl + Xκαι επανεκκινήστε το SSHD για να εφαρμόσετε τις αλλαγές.

systemctl επανεκκίνηση sshd

Εάν δεν χρησιμοποιείτε το systemd, δοκιμάστε να κάνετε επανεκκίνηση του SSH με αυτήν την εντολή:

επανεκκίνηση υπηρεσίας ssh

Την επόμενη φορά που ένα απομακρυσμένο μηχάνημα προσπαθεί να συνδεθεί σε αυτόν τον διακομιστή SSH, θα ελέγξει για τα σωστά κλειδιά και θα τα αφήσει, χωρίς κωδικό πρόσβασης.

Απενεργοποίηση λογαριασμού ρίζας

Η απενεργοποίηση του λογαριασμού Root στον διακομιστή SSH είναι ένας τρόπος για να μετριαστεί η ζημιά που μπορεί να προκύψει όταν ένας μη εξουσιοδοτημένος χρήστης αποκτήσει πρόσβαση μέσω SSH. Για να απενεργοποιήσετε τον λογαριασμό Root, είναι επιτακτική ανάγκη τουλάχιστον ένας χρήστης στον διακομιστή SSH να αποκτήσει Root μέσω sudo. Αυτό θα διασφαλίσει ότι μπορείτε ακόμα να αποκτήσετε πρόσβαση σε επίπεδο συστήματος εάν τη χρειάζεστε, χωρίς τον κωδικό πρόσβασης Root.

Σημείωση: βεβαιωθείτε ότι οι χρήστες που έχουν πρόσβαση στα δικαιώματα Root μέσω του sudo έχουν έναν ασφαλή κωδικό πρόσβασης ή ότι η απενεργοποίηση του λογαριασμού superuser είναι άσκοπη.

Για να απενεργοποιήσετε το Root, ανυψώστε το τερματικό σε δικαιώματα χρήστη:

sudo -s

Η χρήση του sudo -s παρακάμπτει την ανάγκη σύνδεσης σουκαι αντ 'αυτού παραχωρεί ένα κέλυφος ρίζας μέσω του αρχείου sudoers. Τώρα που το κέλυφος έχει πρόσβαση superuser, εκτελέστε το Κωδικός πρόσβασης εντολή και ανακατέψτε τον λογαριασμό Root με -κλειδαριά.

passwd - κλειδί ρίζας

Η εκτέλεση της παραπάνω εντολής ανακατώνει τον κωδικό πρόσβασης του λογαριασμού Root έτσι ώστε να συνδεθείτε μέσω σου είναι αδύνατο. Από τώρα και στο εξής, οι χρήστες μπορούν να χρησιμοποιούν SSH μόνο ως τοπικός χρήστης και μετά να μεταβαίνουν σε λογαριασμό Root μέσω προνομίων sudo.