SSH:n suojaaminen Ubuntu 14.04:ssä

Kun olet luonut uuden palvelimen, sinun tulee tehdä joitain konfiguraatioparannuksia palvelimesi turvallisuuden parantamiseksi.

Luo uusi käyttäjä

Pääkäyttäjänä sinulla on oikeudet tehdä mitä tahansa palvelimen kanssa - ei rajoituksia. Tästä syystä on parempi välttää root-käyttäjätilin käyttöä jokaisessa palvelimellasi olevassa tehtävässä. Aloitetaan tekemällä uusi käyttäjä. Korvaa usernamehalutulla käyttäjätunnuksella:

adduser username

Valitse uusi suojattu salasana ja vastaa kysymyksiin sen mukaisesti (tai paina vain ENTER käyttääksesi oletusarvoa).

Pääkäyttäjän oikeuksien antaminen

Uusilla käyttäjätileillä ei ole oikeuksia kotikansionsa ulkopuolella, eivätkä ne voi suorittaa komentoja, jotka muuttavat palvelinta (kuten install, update, tai upgrade). Pääkäyttäjän tilin käytön välttämiseksi annamme käyttäjälle pääkäyttäjän oikeudet. On kaksi tapaa tehdä tämä:

Lisätään käyttäjää sudo-ryhmään

Helpoin tapa on lisätä käyttäjä sudoryhmään. Korvaa usernamehalutulla käyttäjätunnuksella:

adduser username sudo

Tämä lisää käyttäjän ryhmään sudo. Tällä ryhmällä on oikeus suorittaa komentoja sudo-käytöllä.

Sudoers-tiedoston muokkaaminen

Toinen tapa on lisätä käyttäjäsi sudoerstiedostoon. Jos palvelimellasi on useita käyttäjiä, joilla on pääkäyttäjän oikeudet, tämä lähestymistapa on hieman parempi, koska jos joku sotkee sudoryhmän, voit silti suorittaa komentoja pääkäyttäjän oikeuksilla työskennelläksesi palvelimella.

Suorita ensin tämä komento:

visudo

Tämä avaa sudoerstiedoston. Tämä tiedosto sisältää määritelmät ryhmistä ja käyttäjistä, jotka voivat suorittaa komentoja pääkäyttäjän oikeuksin.

root    ALL=(ALL:ALL) ALL

Kirjoita tämän rivin jälkeen käyttäjänimesi ja myönnä sille täydet pääkäyttäjän oikeudet. Vaihda usernamevastaavasti:

username    ALL=(ALL:ALL) ALL

Tallenna ja sulje tiedosto ( Ctrl + O ja Ctrl + X nanossa).

Testaa uutta käyttäjääsi

Jos haluat kirjautua uudelle käyttäjätilillesi ilman logoutja login-näppäintä, soita:

su username

Testaa sudo-oikeudet tällä komennolla:

sudo apt-get update

Shell kysyy salasanaasi. Jos sudo on määritetty oikein, arkistot tulee päivittää. Muussa tapauksessa tarkista edelliset vaiheet.

Kirjaudu nyt ulos uudesta käyttäjästä:

exit

Sudon asennus on valmis.

SSH:n suojaaminen

Tämän oppaan seuraava osa sisältää ssh-sisäänkirjautumisen turvaamisen palvelimelle. Vaihda ensin pääkäyttäjän salasana:

passwd root

Valitse jotain vaikeasti arvattavaa, mutta jonka voit muistaa.

SSH-avain

SSH-avaimet ovat turvallisempi tapa kirjautua sisään. Jos et ole kiinnostunut SSH-avaimista, siirry opetusohjelman seuraavaan osaan.

Käytä seuraavaa Vultr Doc -ohjelmaa SSH-avaimen luomiseen: Kuinka luon SSH-avaimia?

Kun olet saanut julkisen avaimesi , kirjaudu sisään uudella käyttäjälläsi.

su username

Tee nyt .sshhakemisto ja authorized_keystiedosto kyseisen käyttäjätilin kotihakemistoon.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Lisää tiedostoon julkinen avain, jonka loit toisesta opetusohjelmasta authorized_keys.

 nano .ssh/authorized_keys

Tallenna tiedosto ja muuta sitten tiedoston käyttöoikeuksia.

chmod 600 .ssh/authorized_keys

Palaa pääkäyttäjään.

exit

SSH-kokoonpano

Nyt teemme SSH-daemonista turvallisemman. Aloitetaan asetustiedostosta:

nano /etc/ssh/sshd_config

Vaihda SSH-tuloportti

Tämä vaihe muuttaa portin, jota käytetään palvelimelle pääsyyn, se on täysin valinnainen, mutta suositeltavaa.

Etsi rivi Portkonfigilla, sen pitäisi näyttää tältä:

Port 22

Vaihda nyt tämä portti mihin tahansa haluamaasi porttiin. Sen on oltava suurempi kuin 1024.

Port 4422

Poista root ssh -kirjautuminen käytöstä

Tämä vaihe estää pääkäyttäjän kirjautumisen SSH:n kautta, se on täysin valinnainen, mutta erittäin suositeltavaa .

Etsi tämä rivi:

PermitRootLogin yes

... ja muuta se muotoon:

PermitRootLogin no

Tämä tekee palvelimesta turvallisemman botteja vastaan, jotka yrittävät käyttää raakaa voimaa ja/tai yleisiä salasanoja käyttäjän rootja portin 22 kanssa.

Poista X11 eteenpäin

Tämä vaihe poistaa X11-edelleenlähetyksen käytöstä. Älä tee tätä, jos käytät jotakin etätyöpöytäohjelmaa päästäksesi palvelimellesi.

Etsi X11-rivi:

X11Forwarding yes

...ja se muuttuu seuraavaksi:

X11Forwarding no

Käynnistä SSH-daemon uudelleen

Nyt kun teimme muutokset suojataksemme SSH-kirjautumisen, käynnistä SSH-palvelu uudelleen:

service ssh restart

Tämä käynnistää uudelleen ja lataa palvelimen asetukset uudelleen.

Testaa muutoksia

Katkaisematta nykyistä ssh-istuntoa, avaa uusi pääte- tai PuTTY-ikkuna ja testaa toista SSH-kirjautumista.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Jos kaikki on kunnossa, olemme onnistuneesti koventaneet palvelimesi turvallisuutta. Nauttia!