3 modi per proteggere un server SSH su Linux

SSH è fantastico, in quanto ci consente di ottenere l'accesso terminale ad altri PC e server Linux tramite la rete o persino Internet! Tuttavia, per quanto sorprendente sia questa tecnologia, ci sono alcuni evidenti problemi di sicurezza che rendono il suo utilizzo non sicuro. Se sei un utente medio, non è necessario installare complicati strumenti di sicurezza SSH. Invece, considera di seguire questi passaggi di base per proteggere un server SSH su Linux.

Cambia porta di connessione predefinita

Di gran lunga il modo più rapido e semplice per proteggere un server SSH è cambiare la porta che utilizza. Per impostazione predefinita, il server SSH funziona sulla porta 22. Per cambiarlo, apri una finestra di terminale. All'interno della finestra del terminale, SSH sul PC remoto che ospita il server SSH.

ssh user @ local-ip-address

Una volta effettuato l'accesso, passa da un utente normale a Root. Se hai l'account root attivato, accedi con su è una buona scelta. Altrimenti, dovrai accedere con sudo.

su -

o

sudo -s

Ora che hai accesso come amministratore, apri il file di configurazione SSH in Nano.

nano / etc / ssh / sshd_config

Scorrere il file di configurazione per "Porta 22". Rimuovi il # se ce n'è uno, quindi cambia “22 "a un altro numero. In genere, sarà sufficiente una porta superiore a 100 o anche una nell'intervallo 1.000. Dopo aver modificato il numero di porta, premere il tasto Ctrl + O combinazione di tasti per salvare le modifiche. Quindi, chiudere l'editor premendo Ctrl + X.

La modifica del file di configurazione non cambierà immediatamente il tuo server SSH all'utilizzo della porta corretta. Invece, dovrai riavviare manualmente il servizio.

systemctl restart sshd

L'esecuzione del comando systemctl dovrebbe riavviare il demone SSH e applicare le nuove impostazioni. Se il riavvio del daemon non riesce, un'altra opzione è riavviare il computer server SSH:

riavvio

Dopo aver riavviato il demone (o la macchina), SSH non sarà accessibile tramite la porta 22. Di conseguenza, per la connessione tramite SSH è necessario specificare manualmente la porta.

Nota: assicurarsi di cambiare "1234" con la porta impostata nel file di configurazione SSH.

ssh -p 1234 user @ local-ip-address

Disabilita l'accesso con password

Un altro ottimo modo per proteggere un server SSH è rimuovere la password di accesso e invece passare all'accesso tramite chiavi SSH. Seguendo il percorso della chiave SSH si crea un cerchio di fiducia tra il server SSH e le macchine remote che dispongono della chiave. È un file di password crittografato che è difficile da decifrare.

Configurato con una chiave SSH sul tuo server. Quando hai impostato le chiavi, apri un terminale e apri il file di configurazione SSH.

su -

o

sudo -s

Quindi, apri la configurazione in Nano con:

nano / etc / ssh / sshd_config

Per impostazione predefinita, i server SSH gestiscono l'autenticazione tramite la password dell'utente. Se hai una password sicura, questa è una buona strada da percorrere, ma una chiave SSH crittografata su macchine affidabili è più veloce, più conveniente e sicura. Per completare la transizione a "login senza password", cerca nel file di configurazione SSH. All'interno di questo file, scorrere e trovare la voce che dice "PasswordAuthentication".

Rimuovi il simbolo # davanti a "PasswordAuthentication" e assicurati che abbia la parola "no" davanti. Se tutto sembra a posto, salva le modifiche alla configurazione SSH premendo Ctrl + O sulla tastiera.

Dopo aver salvato la configurazione, chiudere Nano con Ctrl + Xe riavviare SSHD per applicare le modifiche.

systemctl restart sshd

Se non usi systemd, prova invece a riavviare SSH con questo comando:

servizio riavvio ssh

La prossima volta che una macchina remota tenta di accedere a questo server SSH, controllerà le chiavi corrette e le lascerà entrare, senza password.

Disabilita account root

La disabilitazione dell'account root sul server SSH è un modo per mitigare il danno che può verificarsi quando un utente non autorizzato ottiene l'accesso tramite SSH. Per disabilitare l'account Root, è indispensabile che almeno un utente sul server SSH possa ottenere il Root tramite sudo. Ciò garantirà che sia ancora possibile ottenere l'accesso a livello di sistema se necessario, senza la password di root.

Nota: assicurarsi che gli utenti che possono accedere ai privilegi di root tramite sudo dispongano di una password sicura o che disabilitare l'account superutente sia inutile.

Per disabilitare il root, elevare il terminale ai privilegi di superutente:

sudo -s

L'uso di sudo -s evita la necessità di accedere sue concede invece una shell di root tramite il file sudoers. Ora che la shell ha accesso come superutente, esegui il file parola d'ordine comando e rimescolare l'account root con -serratura.

passwd --lock root

Eseguendo il comando sopra si confonde la password dell'account root in modo che l'accesso tramite su è impossibile. Da ora in poi, gli utenti possono accedere a SSH solo come utente locale, quindi passare a un account root tramite i privilegi di sudo.