Ασφάλεια SSH στο Ubuntu 14.04

Αφού δημιουργήσετε έναν νέο διακομιστή, υπάρχουν ορισμένες τροποποιήσεις διαμόρφωσης που πρέπει να κάνετε για να ενισχύσετε την ασφάλεια του διακομιστή σας.

Δημιουργήστε έναν νέο χρήστη

Ως χρήστης root, έχετε τα δικαιώματα να κάνετε οτιδήποτε θέλετε με τον διακομιστή - χωρίς περιορισμούς. Εξαιτίας αυτού, είναι καλύτερο να αποφύγετε τη χρήση του λογαριασμού χρήστη root για κάθε εργασία στον διακομιστή σας. Ας ξεκινήσουμε δημιουργώντας έναν νέο χρήστη. Αντικαταστήστε usernameμε το επιθυμητό όνομα χρήστη:

adduser username

Επιλέξτε έναν νέο ασφαλή κωδικό πρόσβασης και απαντήστε στις ερωτήσεις ανάλογα (ή απλώς πατήστε ENTER για να χρησιμοποιήσετε την προεπιλεγμένη τιμή).

Παροχή δικαιωμάτων root χρήστη

Οι νέοι λογαριασμοί χρηστών δεν έχουν δικαιώματα εκτός του αρχικού φακέλου τους και δεν μπορούν να εκτελέσουν εντολές που θα αλλάξουν τον διακομιστή (όπως install, update, ή upgrade). Για να αποφύγουμε τη χρήση του λογαριασμού root, θα δώσουμε στον χρήστη δικαιώματα root. Υπάρχουν δύο τρόποι για να γίνει αυτό:

Προσθήκη χρήστη στην ομάδα sudo

Ο εύκολος τρόπος είναι να προσθέσετε τον χρήστη στην sudoομάδα. Αντικαταστήστε usernameμε το επιθυμητό όνομα χρήστη:

adduser username sudo

Αυτό θα προσθέσει τον χρήστη στην ομάδα sudo. Αυτή η ομάδα έχει το προνόμιο να εκτελεί τις εντολές με πρόσβαση sudo.

Τροποποίηση αρχείου sudoers

Ο άλλος τρόπος είναι να βάλετε τον χρήστη σας στο sudoersαρχείο. Εάν ο διακομιστής σας έχει πολλούς χρήστες με δικαιώματα root, τότε αυτή η προσέγγιση είναι κάπως καλύτερη, γιατί αν κάποιος μπλέξει με την sudoομάδα, θα μπορείτε ακόμα να εκτελείτε εντολές με δικαιώματα root για να εργαστείτε στον διακομιστή.

Πρώτα, εκτελέστε αυτήν την εντολή:

visudo

Αυτό θα ανοίξει το sudoersαρχείο. Αυτό το αρχείο περιέχει τους ορισμούς των ομάδων και των χρηστών που μπορούν να εκτελούν εντολές με δικαιώματα root.

root    ALL=(ALL:ALL) ALL

Μετά από αυτή τη γραμμή, γράψτε το όνομα χρήστη σας και παραχωρήστε του πλήρη δικαιώματα root. Αντικαταστήστε usernameανάλογα:

username    ALL=(ALL:ALL) ALL

Αποθηκεύστε και κλείστε το αρχείο ( Ctrl + O και Ctrl + X σε nano).

Δοκιμή του νέου σας χρήστη

Για να συνδεθείτε στον νέο σας λογαριασμό χρήστη χωρίς logoutκαι login, απλά καλέστε:

su username

Δοκιμάστε τα δικαιώματα sudo χρησιμοποιώντας αυτήν την εντολή:

sudo apt-get update

Το κέλυφος θα ζητήσει τον κωδικό πρόσβασής σας. Εάν το sudo έχει ρυθμιστεί σωστά, τότε τα αποθετήρια σας θα πρέπει να ενημερωθούν. Διαφορετικά, ελέγξτε τα προηγούμενα βήματα.

Τώρα, αποσυνδεθείτε από τον νέο χρήστη:

exit

Η ρύθμιση του Sudo έχει ολοκληρωθεί.

Ασφάλιση SSH

Το επόμενο μέρος αυτού του οδηγού περιλαμβάνει την εξασφάλιση της σύνδεσης ssh στον διακομιστή. Πρώτα, αλλάξτε τον κωδικό πρόσβασης root:

passwd root

Επιλέξτε κάτι δύσκολο να μαντέψετε, αλλά που μπορείτε να θυμάστε.

Κλειδί SSH

Τα κλειδιά SSH είναι ένας ασφαλέστερος τρόπος για να συνδεθείτε. Εάν δεν σας ενδιαφέρουν τα κλειδιά SSH, μεταβείτε στο επόμενο μέρος του σεμιναρίου.

Χρησιμοποιήστε το ακόλουθο Vultr Doc για να δημιουργήσετε ένα κλειδί SSH: Πώς μπορώ να δημιουργήσω κλειδιά SSH;

Αφού λάβετε το δημόσιο κλειδί σας , συνδεθείτε ξανά με τον νέο σας χρήστη.

su username

Τώρα δημιουργήστε τον .sshκατάλογο και το authorized_keysαρχείο στον αρχικό κατάλογο αυτού του λογαριασμού χρήστη.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Προσθέστε το δημόσιο κλειδί που δημιουργήσατε από τον άλλο οδηγό στο authorized_keysαρχείο.

 nano .ssh/authorized_keys

Αποθηκεύστε το αρχείο και μετά αλλάξτε τα δικαιώματα αυτού του αρχείου.

chmod 600 .ssh/authorized_keys

Επιστρέψτε στον χρήστη root.

exit

Διαμόρφωση SSH

Τώρα θα κάνουμε τον δαίμονα SSH πιο ασφαλή. Ας ξεκινήσουμε με το αρχείο ρυθμίσεων:

nano /etc/ssh/sshd_config

Αλλαγή εισερχόμενης θύρας SSH

Αυτό το βήμα θα αλλάξει τη θύρα που χρησιμοποιείται για την πρόσβαση στον διακομιστή, είναι εντελώς προαιρετικό αλλά συνιστάται.

Βρείτε τη γραμμή με το Portconfig, θα πρέπει να μοιάζει με αυτό:

Port 22

Τώρα αλλάξτε αυτήν τη θύρα σε οποιαδήποτε θύρα θέλετε. Πρέπει να είναι μεγαλύτερο από 1024.

Port 4422

Απενεργοποιήστε τη σύνδεση root ssh

Αυτό το βήμα θα απενεργοποιήσει τη σύνδεση root μέσω SSH, είναι εντελώς προαιρετικό αλλά συνιστάται ιδιαίτερα .

Βρείτε αυτήν τη γραμμή:

PermitRootLogin yes

... και αλλάξτε το σε:

PermitRootLogin no

Αυτό θα κάνει τον διακομιστή πιο ασφαλή έναντι ρομπότ που δοκιμάζουν ωμή βία ή/και κοινούς κωδικούς πρόσβασης με τον χρήστη rootκαι τη θύρα 22.

Απενεργοποιήστε το X11 προς τα εμπρός

Αυτό το βήμα θα απενεργοποιήσει την προώθηση X11, μην το κάνετε εάν χρησιμοποιείτε κάποιο πρόγραμμα απομακρυσμένης επιφάνειας εργασίας για πρόσβαση στον διακομιστή σας.

Βρείτε τη γραμμή X11:

X11Forwarding yes

... και αλλάζει σε:

X11Forwarding no

Επανεκκινήστε τον δαίμονα SSH

Τώρα που κάναμε τις αλλαγές για να εξασφαλίσουμε τη σύνδεση SSH, επανεκκινήστε την υπηρεσία SSH:

service ssh restart

Αυτό θα επανεκκινήσει και θα φορτώσει ξανά τις ρυθμίσεις διακομιστή.

Αλλαγές δοκιμών

Χωρίς να αποσυνδέσετε την τρέχουσα περίοδο λειτουργίας ssh, ανοίξτε ένα νέο τερματικό ή ένα παράθυρο PuTTY και δοκιμάστε μια άλλη σύνδεση SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Εάν όλα είναι ελεγμένα, έχουμε σκληρύνει με επιτυχία την ασφάλεια του διακομιστή σας. Απολαμβάνω!