Sikring af SSH på Ubuntu 14.04

Når du har oprettet en ny server, er der nogle konfigurationsjusteringer, du bør foretage for at hærde sikkerheden på din server.

Opret en ny bruger

Som root-bruger har du privilegier til at gøre alt, hvad du vil med serveren - ingen begrænsninger. På grund af dette er det bedre at undgå at bruge root-brugerkontoen til hver opgave på din server. Lad os starte med at oprette en ny bruger. Erstat usernamemed det ønskede brugernavn:

adduser username

Vælg en ny sikker adgangskode og svar på spørgsmålene i overensstemmelse hermed (eller tryk bare på ENTER for at bruge standardværdien).

Giver bruger root-rettigheder

Nye brugerkonti har ikke privilegier uden for deres hjemmemappe og kan ikke køre kommandoer, der vil ændre serveren (som install, update, eller upgrade). For at undgå brugen af ​​root-kontoen giver vi brugeren root-privilegier. Der er to måder at gøre dette på:

Tilføjer bruger til sudo-gruppen

Den nemme måde er at tilføje brugeren til sudogruppen. Erstat usernamemed det ønskede brugernavn:

adduser username sudo

Dette vil tilføje brugeren til gruppen sudo. Denne gruppe har privilegiet til at køre kommandoerne med sudo-adgang.

Ændring af sudoers-fil

Den anden måde er at sætte din bruger i sudoersfilen. Hvis din server har flere brugere med root-privilegier, så er denne tilgang noget bedre, fordi hvis nogen roder med sudogruppen, vil du stadig være i stand til at køre kommandoer med root-privilegier for at arbejde på serveren.

Kør først denne kommando:

visudo

Dette vil åbne sudoersfilen. Denne fil indeholder definitionerne af grupper og brugere, der kan køre kommandoer med root-rettigheder.

root    ALL=(ALL:ALL) ALL

Efter denne linje skal du skrive dit brugernavn og give det fulde root-privilegier. Udskift i usernameoverensstemmelse hermed:

username    ALL=(ALL:ALL) ALL

Gem og luk filen ( Ctrl + O og Ctrl + X i nano).

Tester din nye bruger

For at logge ind på din nye brugerkonto uden logoutog login, ring blot:

su username

Test sudo-tilladelser ved hjælp af denne kommando:

sudo apt-get update

Skallen vil bede om din adgangskode. Hvis sudo blev konfigureret korrekt, skulle dine repositories opdateres. Ellers skal du gennemgå de foregående trin.

Log nu ud fra den nye bruger:

exit

Sudo-opsætningen er fuldført.

Sikring af SSH

Den næste del af denne vejledning involverer sikring af ssh-login til serveren. Først skal du ændre root-adgangskoden:

passwd root

Vælg noget, der er svært at gætte, men som du kan huske.

SSH nøgle

SSH-nøgler er en sikrere måde at logge på. Hvis du ikke er interesseret i SSH-nøgler, skal du springe til næste del af selvstudiet.

Brug følgende Vultr Doc til at lave en SSH-nøgle: Hvordan genererer jeg SSH-nøgler?

Når du har fået din offentlige nøgle , skal du logge ind med din nye bruger igen.

su username

Lav nu .sshmappen og authorized_keysfilen i hjemmemappen på den brugerkonto.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Tilføj den offentlige nøgle, som du genererede fra den anden vejledning til authorized_keysfilen.

 nano .ssh/authorized_keys

Gem filen, og skift derefter tilladelserne for den fil.

chmod 600 .ssh/authorized_keys

Vend tilbage til root-brugeren.

exit

SSH konfiguration

Nu vil vi gøre SSH-dæmonen mere sikker. Lad os starte med konfigurationsfilen:

nano /etc/ssh/sshd_config

Skift SSH indgående port

Dette trin vil ændre den port, der bruges til at få adgang til serveren, det er helt valgfrit, men anbefales.

Find linjen med Portkonfigurationen, skal se sådan ud:

Port 22

Skift nu denne port til en hvilken som helst port, du ønsker. Det skal være større end 1024.

Port 4422

Deaktiver root ssh login

Dette trin vil deaktivere root-login gennem SSH, det er helt valgfrit, men anbefales stærkt .

Find denne linje:

PermitRootLogin yes

... og ændre det til:

PermitRootLogin no

Dette vil gøre serveren mere sikker mod bots, der prøver brute force og/eller almindelige adgangskoder med bruger rootog port 22.

Deaktiver X11 fremad

Dette trin vil deaktivere X11-videresendelse, gør ikke dette, hvis du bruger et fjernskrivebordsprogram til at få adgang til din server.

Find X11-linjen:

X11Forwarding yes

... og det ændres til:

X11Forwarding no

Genstart SSH-dæmonen

Nu hvor vi har foretaget ændringerne for at sikre SSH-login, skal du genstarte SSH-tjenesten:

service ssh restart

Dette vil genstarte og genindlæse serverindstillingerne.

Test af ændringer

Uden at afbryde din nuværende ssh-session, skal du åbne en ny terminal eller et nyt PuTTY-vindue og teste et andet SSH-login.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Hvis alt tjekker ud, har vi med succes hærdet sikkerheden på din server. God fornøjelse!