Zaščita SSH v Ubuntu 14.04

Ko ustvarite nov strežnik, morate narediti nekaj konfiguracijskih popravkov, da okrepite varnost svojega strežnika.

Ustvarite novega uporabnika

Kot uporabnik root imate privilegije, da s strežnikom počnete vse, kar želite - brez omejitev. Zaradi tega se je bolje izogniti uporabi korenskega uporabniškega računa za vsako opravilo na vašem strežniku. Začnimo z ustvarjanjem novega uporabnika. Zamenjaj usernamez želenim uporabniškim imenom:

adduser username

Izberite novo varno geslo in ustrezno odgovorite na vprašanja (ali samo pritisnite ENTER, da uporabite privzeto vrednost).

Dajanje root privilegijev uporabniku

Novi uporabniški računi nimajo privilegijev zunaj svoje domače mape in ne morejo izvajati ukazov, ki bi spremenili strežnik (na primer install, update, ali upgrade). Da bi se izognili uporabi korenskega računa, bomo uporabniku dali root privilegije. Obstajata dva načina za to:

Dodajanje uporabnika v skupino sudo

Preprost način je dodati uporabnika v sudoskupino. Zamenjaj usernamez želenim uporabniškim imenom:

adduser username sudo

S tem boste dodali uporabnika v skupino sudo. Ta skupina ima privilegij izvajanja ukazov z dostopom sudo.

Spreminjanje datoteke sudoers

Drugi način je, da svojega uporabnika vstavite v sudoersdatoteko. Če ima vaš strežnik več uporabnikov s korenskimi pravicami, je ta pristop nekoliko boljši, ker če se nekdo zaplete s sudoskupino, boste lahko še vedno izvajali ukaze s pravicami root za delo na strežniku.

Najprej zaženite ta ukaz:

visudo

To bo odprlo sudoersdatoteko. Ta datoteka vsebuje definicije skupin in uporabnikov, ki lahko izvajajo ukaze s privilegiji root.

root    ALL=(ALL:ALL) ALL

Za to vrstico napišite svoje uporabniško ime in mu dodelite polne korenske pravice. Ustrezno zamenjajte username:

username    ALL=(ALL:ALL) ALL

Shranite in zaprite datoteko ( Ctrl + O in Ctrl + X v nano).

Testiranje vašega novega uporabnika

Če se želite prijaviti v svoj novi uporabniški račun brez logoutin login, preprosto pokličite:

su username

Preizkusite dovoljenja sudo s tem ukazom:

sudo apt-get update

Lupina bo zahtevala vaše geslo. Če je bil sudo pravilno konfiguriran, je treba posodobiti vaša skladišča. V nasprotnem primeru preglejte prejšnje korake.

Zdaj se odjavite od novega uporabnika:

exit

Nastavitev Sudo je končana.

Zaščita SSH

Naslednji del tega priročnika vključuje zavarovanje prijave ssh na strežnik. Najprej spremenite korensko geslo:

passwd root

Izberite nekaj, kar je težko uganiti, a si ga lahko zapomnite.

SSH ključ

SSH ključi so varnejši način za prijavo. Če vas ključi SSH ne zanimajo, preskočite na naslednji del vadnice.

Za izdelavo ključa SSH uporabite naslednji Vultr Doc: Kako ustvarim ključe SSH?

Ko dobite svoj javni ključ , se znova prijavite z novim uporabnikom.

su username

Zdaj ustvarite .sshimenik in authorized_keysdatoteko v domačem imeniku tega uporabniškega računa.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

V authorized_keysdatoteko dodajte javni ključ, ki ste ga ustvarili iz druge vadnice .

 nano .ssh/authorized_keys

Shranite datoteko, nato spremenite dovoljenja za to datoteko.

chmod 600 .ssh/authorized_keys

Vrnite se k uporabniku root.

exit

SSH konfiguracija

Zdaj bomo naredili demon SSH bolj varen. Začnimo s konfiguracijsko datoteko:

nano /etc/ssh/sshd_config

Spremenite vhodna vrata SSH

Ta korak bo spremenil vrata, ki se uporabljajo za dostop do strežnika, je povsem neobvezna, vendar priporočljiva.

Poiščite vrstico s Portkonfiguracijo, ki bi morala izgledati takole:

Port 22

Zdaj spremenite ta vrata v katera koli vrata, ki jih želite. Biti mora večji od 1024.

Port 4422

Onemogoči prijavo root ssh

Ta korak bo onemogočil root prijavo prek SSH, je popolnoma neobvezen, vendar zelo priporočljiv .

Poiščite to vrstico:

PermitRootLogin yes

... in ga spremeni v:

PermitRootLogin no

Tako bo strežnik bolj varen pred boti, ki poskušajo z brutalno silo in/ali običajnimi gesli z uporabnikom rootin vrati 22.

Onemogoči X11 naprej

Ta korak bo onemogočil posredovanje X11, tega ne storite, če za dostop do strežnika uporabljate kakšen program za oddaljeno namizje.

Poiščite vrstico X11:

X11Forwarding yes

... in se spremeni v:

X11Forwarding no

Znova zaženite demon SSH

Zdaj, ko smo naredili spremembe za zaščito prijave SSH, znova zaženite storitev SSH:

service ssh restart

To bo znova zagnalo in znova naložilo nastavitve strežnika.

Testiranje sprememb

Brez prekinitve povezave s trenutno sejo ssh odprite nov terminal ali okno PuTTY in preizkusite drugo prijavo SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Če je vse v redu, smo uspešno okrepili varnost vašega strežnika. Uživajte!