Assegurant SSH a Ubuntu 14.04

Després de crear un nou servidor, hi ha alguns ajustaments de configuració que hauríeu de fer per reforçar la seguretat del vostre servidor.

Crea un usuari nou

Com a usuari root, teniu privilegis per fer el que vulgueu amb el servidor, sense restriccions. Per això, és millor evitar utilitzar el compte d'usuari root per a cada tasca del vostre servidor. Comencem fent un nou usuari. Substituïu username-lo pel nom d'usuari desitjat:

adduser username

Trieu una nova contrasenya segura i responeu a les preguntes en conseqüència (o premeu INTRO per utilitzar el valor predeterminat).

Donar privilegis d'usuari root

Els comptes d'usuari nous no tenen privilegis fora de la seva carpeta d'inici i no poden executar ordres que alteraran el servidor (com ara install, update, o upgrade). Per evitar l'ús del compte root, donarem privilegis de root a l'usuari. Hi ha dues maneres de fer-ho:

Afegint usuari al grup sudo

La manera senzilla és afegir l'usuari al sudogrup. Substituïu username-lo pel nom d'usuari desitjat:

adduser username sudo

Això afegirà l'usuari al grup sudo. Aquest grup té el privilegi d'executar les ordres amb accés sudo.

S'està modificant el fitxer sudoers

L'altra manera és posar el vostre usuari al sudoersfitxer. Si el vostre servidor té diversos usuaris amb privilegis d'arrel, aquest enfocament és una mica millor perquè si algú s'embolica amb el sudogrup, encara podreu executar ordres amb privilegis d'arrel per treballar al servidor.

Primer, executeu aquesta comanda:

visudo

Això obrirà el sudoersfitxer. Aquest fitxer conté les definicions de grups i usuaris que poden executar ordres amb privilegis de root.

root    ALL=(ALL:ALL) ALL

Després d'aquesta línia, escriu el teu nom d'usuari i concediu-li privilegis d'arrel complets. Substituïu en usernameconseqüència:

username    ALL=(ALL:ALL) ALL

Deseu i tanqueu el fitxer ( Ctrl + O i Ctrl + X en nano).

Prova el teu nou usuari

Per iniciar sessió al vostre nou compte d'usuari sense logouti login, només heu de trucar a:

su username

Proveu els permisos de sudo amb aquesta ordre:

sudo apt-get update

El shell us demanarà la vostra contrasenya. Si sudo s'ha configurat correctament, els vostres dipòsits haurien d'estar actualitzats. En cas contrari, reviseu els passos anteriors.

Ara, tanqueu la sessió del nou usuari:

exit

La configuració de Sudo s'ha completat.

Assegurant SSH

La següent part d'aquesta guia implica assegurar l'inici de sessió ssh al servidor. Primer, canvieu la contrasenya d'arrel:

passwd root

Trieu alguna cosa difícil d'endevinar, però que recordeu.

Clau SSH

Les claus SSH són una manera més segura d'iniciar sessió. Si no us interessen les claus SSH, aneu a la següent part del tutorial.

Utilitzeu el següent Vultr Doc per crear una clau SSH: Com puc generar claus SSH?

Un cop obtingueu la vostra clau pública , torneu a iniciar sessió amb el vostre nou usuari.

su username

Ara feu el .sshdirectori i el authorized_keysfitxer al directori inicial d'aquest compte d'usuari.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Afegiu la clau pública que heu generat des de l'altre tutorial al authorized_keysfitxer.

 nano .ssh/authorized_keys

Deseu el fitxer i, a continuació, canvieu els permisos d'aquest fitxer.

chmod 600 .ssh/authorized_keys

Torna a l'usuari root.

exit

Configuració SSH

Ara farem que el dimoni SSH sigui més segur. Comencem amb el fitxer de configuració:

nano /etc/ssh/sshd_config

Canvia el port d'entrada SSH

Aquest pas canviarà el port utilitzat per accedir al servidor, és totalment opcional però recomanable.

Trobeu la línia amb la Portconfiguració, hauria de ser així:

Port 22

Ara canvieu aquest port a qualsevol port que vulgueu. Ha de ser superior a 1024.

Port 4422

Desactiveu l'inici de sessió ssh root

Aquest pas desactivarà l'inici de sessió root mitjançant SSH, és totalment opcional però molt recomanable .

Troba aquesta línia:

PermitRootLogin yes

... i canvieu-lo per:

PermitRootLogin no

Això farà que el servidor sigui més segur contra els robots que intenten la força bruta i/o contrasenyes comunes amb l'usuari rooti el port 22.

Desactiva X11 endavant

Aquest pas desactivarà el reenviament X11, no ho feu si utilitzeu algun programa d'escriptori remot per accedir al vostre servidor.

Trobeu la línia X11:

X11Forwarding yes

... i canvia a:

X11Forwarding no

Reinicieu el dimoni SSH

Ara que hem fet els canvis per assegurar l'inici de sessió SSH, reinicieu el servei SSH:

service ssh restart

Això reiniciarà i tornarà a carregar la configuració del servidor.

Prova de canvis

Sense desconnectar la vostra sessió ssh actual, obriu un nou terminal o finestra PuTTY i proveu un altre inici de sessió SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Si tot funciona, hem reforçat la seguretat del vostre servidor. Gaudeix!