SSH apsauga Ubuntu 14.04

Sukūrę naują serverį, yra keletas konfigūracijos pakeitimų, kuriuos turėtumėte atlikti, kad sustiprintumėte savo serverio saugumą.

Sukurti naują vartotoją

Kaip root vartotojas, jūs turite teises su serveriu daryti bet ką, ko norite – jokių apribojimų. Dėl šios priežasties geriau vengti naudoti root vartotojo abonementą kiekvienai jūsų serverio užduočiai. Pradėkime nuo naujo vartotojo sukūrimo. Pakeiskite usernamenorimu vartotojo vardu:

adduser username

Pasirinkite naują saugų slaptažodį ir atitinkamai atsakykite į klausimus (arba tiesiog paspauskite ENTER, kad naudotumėte numatytąją reikšmę).

Vartotojo root teisių suteikimas

Naujos vartotojų paskyros neturi privilegijų už namų aplanko ribų ir negali vykdyti komandų, kurios pakeis serverį (pvz. install, update, , arba upgrade). Norėdami išvengti root paskyros naudojimo, vartotojui suteiksime root teises. Yra du būdai tai padaryti:

Vartotojas pridedamas prie sudo grupės

Lengviausias būdas yra įtraukti vartotoją į sudogrupę. Pakeiskite usernamenorimu vartotojo vardu:

adduser username sudo

Taip vartotojas bus įtrauktas į grupę sudo. Ši grupė turi privilegiją vykdyti komandas su sudo prieiga.

Sudoers failo keitimas

Kitas būdas yra įtraukti vartotoją į sudoersfailą. Jei jūsų serveryje yra keli vartotojai, turintys root teises, šis metodas yra šiek tiek geresnis, nes jei kas nors susimaišys su sudogrupe, jūs vis tiek galėsite vykdyti komandas su root teisėmis, kad galėtumėte dirbti serveryje.

Pirmiausia paleiskite šią komandą:

visudo

Tai atvers sudoersfailą. Šiame faile yra grupių ir vartotojų, galinčių vykdyti komandas su root teisėmis, apibrėžimai.

root    ALL=(ALL:ALL) ALL

Po šios eilutės parašykite savo vartotojo vardą ir suteikite jam visas root teises. usernameAtitinkamai pakeiskite :

username    ALL=(ALL:ALL) ALL

Išsaugokite ir uždarykite failą ( Ctrl + O ir Ctrl + X nano).

Naujo vartotojo testavimas

Norėdami prisijungti prie naujos vartotojo paskyros be logoutir login, tiesiog skambinkite:

su username

Išbandykite sudo leidimus naudodami šią komandą:

sudo apt-get update

Apvalkalas paprašys jūsų slaptažodžio. Jei sudo buvo tinkamai sukonfigūruotas, jūsų saugyklos turėtų būti atnaujintos. Kitu atveju peržiūrėkite ankstesnius veiksmus.

Dabar atsijunkite nuo naujo vartotojo:

exit

Sudo sąranka baigta.

SSH apsauga

Kita šio vadovo dalis apima ssh prisijungimo prie serverio apsaugą. Pirmiausia pakeiskite root slaptažodį:

passwd root

Pasirinkite tai, ką sunku atspėti, bet kurį galite atsiminti.

SSH raktas

SSH raktai yra saugesnis prisijungimo būdas. Jei jūsų nedomina SSH raktai, pereikite prie kitos pamokos dalies.

Norėdami sukurti SSH raktą, naudokite šį Vultr Doc: Kaip generuoti SSH raktus?

Kai gausite viešąjį raktą , vėl prisijunkite naudodami naują vartotoją.

su username

Dabar sukurkite .sshkatalogą ir authorized_keysfailą to vartotojo abonemento pagrindiniame kataloge.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Į authorized_keysfailą pridėkite viešąjį raktą, kurį sugeneravote iš kitos mokymo programos .

 nano .ssh/authorized_keys

Išsaugokite failą, tada pakeiskite to failo teises.

chmod 600 .ssh/authorized_keys

Grįžti į root naudotoją.

exit

SSH konfigūracija

Dabar mes padarysime SSH demoną saugesnį. Pradėkime nuo konfigūracijos failo:

nano /etc/ssh/sshd_config

Pakeiskite SSH įeinantį prievadą

Šis veiksmas pakeis prievadą, naudojamą prieigai prie serverio. Tai visiškai neprivaloma, bet rekomenduojama.

Raskite eilutę su Portkonfigūracija, ji turėtų atrodyti taip:

Port 22

Dabar pakeiskite šį prievadą į bet kurį norimą prievadą. Jis turi būti didesnis nei 1024.

Port 4422

Išjungti root ssh prisijungimą

Šis veiksmas išjungs root prisijungimą per SSH, tai yra visiškai neprivaloma, bet labai rekomenduojama .

Raskite šią eilutę:

PermitRootLogin yes

... ir pakeiskite jį į:

PermitRootLogin no

Taip serveris bus saugesnis nuo robotų, kurie bando brutalią jėgą ir (arba) įprastus slaptažodžius su vartotoju rootir 22 prievadu.

Išjungti X11 pirmyn

Šis veiksmas išjungs X11 persiuntimą. Nedarykite to, jei naudojate kokią nors nuotolinio darbalaukio programą, kad pasiektumėte savo serverį.

Raskite X11 eilutę:

X11Forwarding yes

... ir jis pakeistas į:

X11Forwarding no

Iš naujo paleiskite SSH demoną

Dabar, kai atlikome pakeitimus, kad apsaugotume SSH prisijungimą, iš naujo paleiskite SSH paslaugą:

service ssh restart

Tai paleis iš naujo ir iš naujo įkels serverio nustatymus.

Pakeitimų testavimas

Neatjungdami dabartinės ssh sesijos, atidarykite naują terminalą arba PuTTY langą ir išbandykite kitą SSH prisijungimą.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Jei viskas bus patikrinta, mes sėkmingai sustiprinome jūsų serverio saugumą. Mėgautis!