SSH turvamine Ubuntu 14.04-s

Pärast uue serveri loomist peate oma serveri turvalisuse tugevdamiseks tegema mõned konfiguratsioonimuudatused.

Looge uus kasutaja

Juurkasutajana on teil õigus teha serveriga kõike, mida soovite – piiranguid pole. Seetõttu on parem vältida juurkasutajakonto kasutamist iga serveri toimingu jaoks. Alustame uue kasutaja loomisega. Asenda usernamesoovitud kasutajanimega:

adduser username

Valige uus turvaline parool ja vastake küsimustele vastavalt (või vajutage vaikeväärtuse kasutamiseks lihtsalt sisestusklahvi).

Kasutajale juurõiguste andmine

Uutel kasutajakontodel ei ole privileege väljaspool kodukausta ja nad ei saa käivitada serverit muutvaid käske (nt install, update, või upgrade). Juurkonto kasutamise vältimiseks anname kasutajale juurõigused. Selleks on kaks võimalust.

Kasutaja lisamine sudo gruppi

Lihtne viis on lisada kasutaja sudogruppi. Asenda usernamesoovitud kasutajanimega:

adduser username sudo

See lisab kasutaja gruppi sudo. Sellel rühmal on sudo juurdepääsuga käskude käivitamise õigus.

Sudoers faili muutmine

Teine võimalus on lisada oma kasutaja sudoersfaili. Kui teie serveril on mitu juurõigustega kasutajat, on see lähenemine mõnevõrra parem, sest kui keegi sudogrupiga jamab , saate ikkagi käivitada serveris töötamiseks juurõigustega käske.

Esmalt käivitage see käsk:

visudo

See avab sudoersfaili. See fail sisaldab rühmade ja kasutajate määratlusi, kes saavad käivitada juurõigustega käske.

root    ALL=(ALL:ALL) ALL

Pärast seda rida kirjutage oma kasutajanimi ja andke sellele täielikud juurõigused. Asendage usernamevastavalt:

username    ALL=(ALL:ALL) ALL

Salvestage ja sulgege fail ( nano puhul Ctrl + O ja Ctrl + X ).

Uue kasutaja testimine

Oma uuele kasutajakontole sisselogimiseks ilma logoutja login, helistage lihtsalt:

su username

Testige sudo õigusi selle käsuga:

sudo apt-get update

Kest küsib teie parooli. Kui sudo oli õigesti konfigureeritud, tuleks teie hoidlaid värskendada. Vastasel juhul vaadake üle eelmised sammud.

Nüüd logige uuest kasutajast välja:

exit

Sudo seadistamine on lõpetatud.

SSH turvamine

Selle juhendi järgmine osa hõlmab ssh-i sisselogimise turvamist serverisse. Esiteks muutke juurparool:

passwd root

Valige midagi, mida on raske ära arvata, kuid mida saate meeles pidada.

SSH-võti

SSH-võtmed on turvalisem viis sisselogimiseks. Kui te SSH-võtmed ei ole huvitatud, minge õpetuse järgmise osa juurde.

Kasutage SSH-võtme loomiseks järgmist Vultr Doci: Kuidas genereerida SSH-võtmeid?

Pärast avaliku võtme saamist logige oma uue kasutajaga uuesti sisse.

su username

Nüüd tehke .sshkataloog ja authorized_keysfail selle kasutajakonto kodukataloogi.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Lisage authorized_keysfaili avalik võti, mille lõite teisest õpetusest .

 nano .ssh/authorized_keys

Salvestage fail ja seejärel muutke selle faili õigusi.

chmod 600 .ssh/authorized_keys

Naaske juurkasutaja juurde.

exit

SSH konfiguratsioon

Nüüd muudame SSH-deemoni turvalisemaks. Alustame konfiguratsioonifailiga:

nano /etc/ssh/sshd_config

Muutke SSH sissetulevat porti

See samm muudab serverile juurdepääsuks kasutatavat porti, see on täiesti vabatahtlik, kuid soovitatav.

Otsige üles Portkonfiguratsiooniga rida , mis peaks välja nägema järgmine:

Port 22

Nüüd muutke see port mis tahes soovitud pordiks. See peab olema suurem kui 1024.

Port 4422

Keela juur-ssh sisselogimine

See samm keelab juurkasutamise SSH kaudu, see on täiesti vabatahtlik, kuid väga soovitatav .

Leidke see rida:

PermitRootLogin yes

... ja muutke see järgmiseks:

PermitRootLogin no

See muudab serveri turvalisemaks robotite eest, mis proovivad jõhkrat jõudu ja/või tavalisi paroole kasutaja rootja pordiga 22.

Keela X11 edasi

See samm keelab X11 edastamise. Ärge tehke seda, kui kasutate serverile juurdepääsuks mõnda kaugtöölaua programmi.

Leidke rida X11:

X11Forwarding yes

... ja see muutub järgmiseks:

X11Forwarding no

Taaskäivitage SSH deemon

Nüüd, kui oleme SSH-i sisselogimise turvamiseks muudatused teinud, taaskäivitage SSH-teenus:

service ssh restart

See taaskäivitab ja laadib uuesti serveri sätted.

Muudatuste testimine

Ilma praegust ssh-seanssi katkestamata avage uus terminal või PuTTY aken ja testige teist SSH-i sisselogimist.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Kui kõik õnnestub, oleme teie serveri turvalisust edukalt tugevdanud. Nautige!