3 maneiras de proteger um servidor SSH no Linux

SSH é incrível, pois nos permite obter acesso terminal a outros PCs e servidores Linux pela rede ou até pela Internet! Ainda assim, por incrível que seja essa tecnologia, existem alguns problemas de segurança flagrantes que tornam o uso inseguro. Se você é um usuário comum, não há necessidade real de instalar ferramentas complicadas de segurança SSH. Em vez disso, considere seguir estas etapas básicas para proteger um servidor SSH no Linux.

Alterar porta de conexão padrão

De longe, a maneira mais rápida e fácil de proteger um servidor SSH é alterar a porta que ele usa. Por padrão, o servidor SSH é executado na porta 22. Para alterá-lo, abra uma janela do terminal. Dentro da janela do terminal, SSH para o PC remoto que hospeda o servidor SSH.

ssh user @ local-ip-address

Uma vez logado, passe de um usuário comum para o Root. Se você tiver a conta raiz, faça login com su é uma boa escolha Caso contrário, você precisará obter acesso com sudo.

su -

ou

sudo -s

Agora que você tem acesso de administrador, abra o arquivo de configuração SSH no Nano.

nano / etc / ssh / sshd_config

Role pelo arquivo de configuração para “Porta 22”. Remova o # se houver, mude “22 ″ para outro número. Normalmente, uma porta acima de 100 ou mesmo uma no intervalo de 1.000 será suficiente. Depois de alterar o número da porta, pressione o botão Ctrl + O combinação de teclado para salvar as edições. Em seguida, saia do editor pressionando Ctrl + X.

A edição do arquivo de configuração não mudará imediatamente o servidor SSH para a porta correta. Em vez disso, você precisará reiniciar o serviço manualmente.

systemctl restart sshd

A execução do comando systemctl deve reiniciar o daemon SSH e aplicar as novas configurações. Se a reinicialização do daemon falhar, outra opção é reiniciar a máquina do servidor SSH:

reiniciar

Após reiniciar o daemon (ou máquina), o SSH não estará acessível via porta 22. Como resultado, a conexão através do SSH requer a especificação manual da porta.

Nota: certifique-se de alterar “1234” com a porta definida no arquivo de configuração SSH.

ssh -p 1234 user @ local-ip-address

Desativar login de senha

Outra ótima maneira de proteger um servidor SSH é remover o login com senha e, em vez disso, fazer a transição para o login via chaves SSH. Seguir a rota da chave SSH cria um círculo de confiança entre o servidor SSH e as máquinas remotas que possuem sua chave. É um arquivo de senha criptografada difícil de decifrar.

Configure com uma chave SSH no seu servidor. Quando você tiver as chaves configuradas, abra um terminal e abra o arquivo de configuração SSH.

su -

ou

sudo -s

Em seguida, abra a configuração no Nano com:

nano / etc / ssh / sshd_config

Por padrão, os servidores SSH manipulam a autenticação por meio da senha do usuário. Se você possui uma senha segura, este é um bom caminho, mas uma chave SSH criptografada em máquinas confiáveis ​​é mais rápida, conveniente e segura. Para finalizar a transição para o "login sem senha", consulte o arquivo de configuração SSH. Dentro deste arquivo, role e localize a entrada que diz "PasswordAuthentication".

Remova o símbolo # na frente de “PasswordAuthentication” e verifique se a palavra “não” está na frente. Se tudo parecer bom, salve as edições na configuração SSH pressionando Ctrl + O no teclado

Após salvar a configuração, feche o Nano com Ctrl + Xe reinicie o SSHD para aplicar as alterações.

systemctl restart sshd

Se você não usa o systemd, tente reiniciar o SSH com este comando:

reiniciar o serviço ssh

Na próxima vez em que uma máquina remota tentar efetuar login no servidor SSH, ela verificará as chaves corretas e as deixará entrar, sem uma senha.

Desativar conta raiz

Desabilitar a conta Raiz no servidor SSH é uma maneira de atenuar os danos que podem ocorrer quando um usuário não autorizado obtém acesso por SSH. Para desativar a conta Raiz, é imperativo que pelo menos um usuário no seu servidor SSH possa obter Raiz via sudo. Isso garantirá que você ainda possa obter acesso no nível do sistema, se precisar, sem a senha Raiz.

Nota: verifique se os usuários que podem acessar os privilégios de Raiz via sudo têm uma senha segura ou desativar a conta do superusuário não faz sentido.

Para desativar o Root, eleve o terminal a privilégios de superusuário:

sudo -s

O uso do sudo -s ignora a necessidade de efetuar login com sue concede um shell raiz por meio do arquivo sudoers. Agora que o shell tem acesso de superusuário, execute o senha comando e embaralhe a conta Root com –Lock.

passwd --lock root

A execução do comando acima embaralha a senha da conta raiz para que o login via su é impossível. A partir de agora, os usuários só poderão fazer o SSH como usuário local e, em seguida, mudar para uma conta Raiz via privilégios sudo.