Zabezpečení SSH na Ubuntu 14.04

Po vytvoření nového serveru je třeba provést několik úprav konfigurace, abyste posílili zabezpečení svého serveru.

Vytvořte nového uživatele

Jako uživatel root máte oprávnění dělat se serverem cokoli – bez omezení. Z tohoto důvodu je lepší vyhnout se používání účtu uživatele root pro každou úlohu na vašem serveru. Začněme vytvořením nového uživatele. Nahraďte usernamepožadovaným uživatelským jménem:

adduser username

Vyberte si nové bezpečné heslo a odpovídajícím způsobem odpovězte na otázky (nebo stiskněte ENTER pro použití výchozí hodnoty).

Poskytování oprávnění uživatele root

Nové uživatelské účty nemají práva mimo své domovské složky a nelze spustit příkazy, které se změní na server (jako je install, updatenebo upgrade). Abychom se vyhnuli použití účtu root, udělíme uživateli oprávnění root. Existují dva způsoby, jak to udělat:

Přidávání uživatele do skupiny sudo

Nejjednodušší způsob je přidat uživatele do sudoskupiny. Nahraďte usernamepožadovaným uživatelským jménem:

adduser username sudo

Toto přidá uživatele do skupiny sudo. Tato skupina má oprávnění spouštět příkazy s přístupem sudo.

Úprava souboru sudoers

Druhým způsobem je vložit uživatele do sudoerssouboru. Pokud má váš server více uživatelů s právy root, pak je tento přístup poněkud lepší, protože pokud se někdo se sudoskupinou zaplete , budete stále moci spouštět příkazy s právy root pro práci na serveru.

Nejprve spusťte tento příkaz:

visudo

Tím se sudoerssoubor otevře . Tento soubor obsahuje definice skupin a uživatelů, kteří mohou spouštět příkazy s právy root.

root    ALL=(ALL:ALL) ALL

Za tento řádek napište své uživatelské jméno a udělte mu plná práva root. Vyměňte usernamepodle toho:

username    ALL=(ALL:ALL) ALL

Uložte a zavřete soubor ( Ctrl + O a Ctrl + X v nano).

Testování vašeho nového uživatele

Chcete-li se přihlásit ke svému novému uživatelskému účtu bez logouta login, jednoduše zavolejte:

su username

Otestujte oprávnění sudo pomocí tohoto příkazu:

sudo apt-get update

Shell vás požádá o heslo. Pokud bylo sudo správně nakonfigurováno, měla by být vaše úložiště aktualizována. V opačném případě si přečtěte předchozí kroky.

Nyní se odhlaste od nového uživatele:

exit

Nastavení sudo je dokončeno.

Zabezpečení SSH

Další část této příručky zahrnuje zabezpečení přihlášení pomocí ssh k serveru. Nejprve změňte heslo uživatele root:

passwd root

Vyberte si něco, co je těžké uhodnout, ale co si pamatujete.

SSH klíč

SSH klíče jsou bezpečnější způsob přihlášení. Pokud vás SSH klíče nezajímají, přeskočte na další část tutoriálu.

K vytvoření klíče SSH použijte následující dokument Vultr Doc: Jak vygeneruji klíče SSH?

Po získání veřejného klíče se znovu přihlaste se svým novým uživatelem.

su username

Nyní vytvořte .sshadresář a authorized_keyssoubor v domovském adresáři tohoto uživatelského účtu.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Přidejte do souboru veřejný klíč, který jste vygenerovali z jiného kurzu authorized_keys.

 nano .ssh/authorized_keys

Uložte soubor a poté změňte oprávnění tohoto souboru.

chmod 600 .ssh/authorized_keys

Vraťte se k uživateli root.

exit

Konfigurace SSH

Nyní uděláme démona SSH bezpečnější. Začněme konfiguračním souborem:

nano /etc/ssh/sshd_config

Změňte příchozí port SSH

Tento krok změní port používaný pro přístup k serveru, je zcela volitelný, ale doporučený.

Najděte řádek s Portkonfigurací, měl by vypadat takto:

Port 22

Nyní změňte tento port na libovolný port, který chcete. Musí být větší než 1024.

Port 4422

Zakázat přihlášení root ssh

Tento krok zakáže přihlášení uživatele root přes SSH, je to zcela volitelné, ale vysoce doporučeno .

Najděte tento řádek:

PermitRootLogin yes

...a změňte to na:

PermitRootLogin no

Díky tomu bude server bezpečnější proti robotům, kteří zkoušejí hrubou sílu a/nebo běžná hesla s uživatelem roota portem 22.

Zakázat X11 vpřed

Tento krok zakáže předávání X11. Nedělejte to, pokud pro přístup k serveru používáte nějaký program pro vzdálenou plochu.

Najděte řádek X11:

X11Forwarding yes

...a změní se na:

X11Forwarding no

Restartujte démona SSH

Nyní, když jsme provedli změny pro zabezpečení přihlášení SSH, restartujte službu SSH:

service ssh restart

Tím se restartuje a znovu načte nastavení serveru.

Testování změn

Bez odpojení vaší aktuální ssh relace otevřete nový terminál nebo okno PuTTY a otestujte další přihlášení SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Pokud je vše v pořádku, úspěšně jsme posílili zabezpečení vašeho serveru. Užívat si!