SSH nodrošināšana Ubuntu 14.04

Pēc jauna servera izveides ir jāveic daži konfigurācijas uzlabojumi, lai uzlabotu servera drošību.

Izveidojiet jaunu lietotāju

Kā root lietotājam jums ir tiesības ar serveri darīt visu, ko vēlaties — bez ierobežojumiem. Šī iemesla dēļ labāk ir izvairīties no root lietotāja konta izmantošanas katram uzdevumam jūsu serverī. Sāksim ar jauna lietotāja izveidošanu. Aizstāt usernamear vajadzīgo lietotājvārdu:

adduser username

Izvēlieties jaunu drošu paroli un attiecīgi atbildiet uz jautājumiem (vai vienkārši nospiediet ENTER, lai izmantotu noklusējuma vērtību).

Piešķirt lietotājam root tiesības

Jauniem lietotāju kontiem nav privilēģiju ārpus mājas mapes, un tie nevar palaist komandas, kas mainīs serveri (piemēram install, update, , vai upgrade). Lai izvairītos no root konta izmantošanas, mēs lietotājam piešķirsim root tiesības. Ir divi veidi, kā to izdarīt:

Notiek lietotāja pievienošana sudo grupai

Vienkāršākais veids ir pievienot lietotāju sudogrupai. Aizstāt usernamear vajadzīgo lietotājvārdu:

adduser username sudo

Tādējādi lietotājs tiks pievienots grupai sudo. Šai grupai ir tiesības palaist komandas ar sudo piekļuvi.

Sudoers faila modificēšana

Otrs veids ir ievietot savu lietotāju sudoersfailā. Ja jūsu serverim ir vairāki lietotāji ar root tiesībām, šī pieeja ir nedaudz labāka, jo, ja kāds sajaucas ar sudogrupu, jūs joprojām varēsit palaist komandas ar root tiesībām, lai strādātu serverī.

Vispirms palaidiet šo komandu:

visudo

Tas atvērs sudoersfailu. Šajā failā ir to grupu un lietotāju definīcijas, kuri var palaist komandas ar root tiesībām.

root    ALL=(ALL:ALL) ALL

Pēc šīs rindas ierakstiet savu lietotājvārdu un piešķiriet tam visas root tiesības. usernameAttiecīgi nomainiet :

username    ALL=(ALL:ALL) ALL

Saglabājiet un aizveriet failu ( Ctrl + O un Ctrl + X nano).

Jaunā lietotāja testēšana

Lai pieteiktos savā jaunajā lietotāja kontā, neizmantojot logoutun login, vienkārši zvaniet:

su username

Pārbaudiet sudo atļaujas, izmantojot šo komandu:

sudo apt-get update

Apvalks prasīs jūsu paroli. Ja sudo ir pareizi konfigurēts, jūsu krātuves ir jāatjaunina. Pretējā gadījumā pārskatiet iepriekšējās darbības.

Tagad atsakieties no jaunā lietotāja:

exit

Sudo iestatīšana ir pabeigta.

SSH nodrošināšana

Nākamā šīs rokasgrāmatas daļa ietver ssh pieteikšanās nodrošināšanu serverī. Pirmkārt, mainiet root paroli:

passwd root

Izvēlieties kaut ko grūti uzminējamu, bet ko atceraties.

SSH atslēga

SSH atslēgas ir drošāks pieteikšanās veids. Ja jūs neinteresē SSH atslēgas, pārejiet uz nākamo apmācības daļu.

Izmantojiet šo Vultr Doc, lai izveidotu SSH atslēgu: Kā ģenerēt SSH atslēgas?

Kad esat saņēmis publisko atslēgu , vēlreiz piesakieties ar savu jauno lietotāju.

su username

Tagad izveidojiet .sshdirektoriju un authorized_keysfailu šī lietotāja konta mājas direktorijā.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Pievienojiet authorized_keysfailam publisko atslēgu, ko ģenerējāt no citas apmācības .

 nano .ssh/authorized_keys

Saglabājiet failu un pēc tam mainiet šī faila atļaujas.

chmod 600 .ssh/authorized_keys

Atgriezties pie root lietotāja.

exit

SSH konfigurācija

Tagad mēs padarīsim SSH dēmonu drošāku. Sāksim ar konfigurācijas failu:

nano /etc/ssh/sshd_config

Mainiet SSH ienākošo portu

Šī darbība mainīs portu, kas tiek izmantots, lai piekļūtu serverim. Tas ir pilnīgi neobligāts, taču ieteicams.

Atrodiet līniju ar Portkonfigurāciju, kurai vajadzētu izskatīties šādi:

Port 22

Tagad mainiet šo portu uz jebkuru vajadzīgo portu. Tam jābūt lielākam par 1024.

Port 4422

Atspējot root ssh pieteikšanos

Šī darbība atspējos root pieteikšanos, izmantojot SSH, tas ir pilnīgi neobligāts, bet ļoti ieteicams .

Atrodiet šo rindu:

PermitRootLogin yes

... un mainiet to uz:

PermitRootLogin no

Tas padarīs serveri drošāku pret robotiem, kas izmēģina brutālu spēku un/vai parastās paroles ar lietotāju rootun 22. portu.

Atspējot X11 uz priekšu

Šī darbība atspējos X11 pārsūtīšanu. Nedariet to, ja izmantojat kādu attālās darbvirsmas programmu, lai piekļūtu savam serverim.

Atrodiet X11 līniju:

X11Forwarding yes

... un tas mainās uz:

X11Forwarding no

Restartējiet SSH dēmonu

Tagad, kad esam veikuši izmaiņas, lai nodrošinātu SSH pieteikšanos, restartējiet SSH pakalpojumu:

service ssh restart

Tas restartēs un atkārtoti ielādēs servera iestatījumus.

Izmaiņu pārbaude

Neatvienojot pašreizējo ssh sesiju, atveriet jaunu termināli vai PuTTY logu un pārbaudiet citu SSH pieteikšanos.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Ja viss tiek pārbaudīts, mēs esam veiksmīgi nostiprinājuši jūsu servera drošību. Izbaudi!