Zabezpečenie SSH na Ubuntu 14.04

Po vytvorení nového servera existuje niekoľko úprav konfigurácie, ktoré by ste mali vykonať, aby ste zvýšili bezpečnosť svojho servera.

Vytvorte nového používateľa

Ako užívateľ root máte oprávnenia robiť so serverom čokoľvek, čo chcete – žiadne obmedzenia. Z tohto dôvodu je lepšie vyhnúť sa používaniu používateľského účtu typu root pre každú úlohu na vašom serveri. Začnime vytvorením nového používateľa. Nahraďte usernamepožadovaným menom používateľa:

adduser username

Zvoľte si nové bezpečné heslo a podľa toho odpovedzte na otázky (alebo jednoducho stlačte ENTER, aby ste použili predvolenú hodnotu).

Poskytnutie práv root používateľom

Nové používateľské účty nemajú práva mimo svojej domovskej zložky a nemožno spustiť príkazy, ktoré sa zmení na server (ako je install, updatealebo upgrade). Aby sme sa vyhli používaniu účtu root, poskytneme používateľovi práva root. Existujú dva spôsoby, ako to urobiť:

Pridanie používateľa do skupiny sudo

Najjednoduchším spôsobom je pridať používateľa do sudoskupiny. Nahraďte usernamepožadovaným menom používateľa:

adduser username sudo

Toto pridá používateľa do skupiny sudo. Táto skupina má privilégium spúšťať príkazy s prístupom sudo.

Úprava súboru sudoers

Ďalším spôsobom je vložiť používateľa do sudoerssúboru. Ak má váš server viacero používateľov s oprávneniami typu root, potom je tento prístup o niečo lepší, pretože ak sa niekto so sudoskupinou zapletie , stále budete môcť spúšťať príkazy s oprávneniami typu root na prácu na serveri.

Najprv spustite tento príkaz:

visudo

Tým sa otvorí sudoerssúbor. Tento súbor obsahuje definície skupín a používateľov, ktorí môžu spúšťať príkazy s oprávneniami root.

root    ALL=(ALL:ALL) ALL

Za tento riadok napíšte svoje užívateľské meno a udeľte mu plné práva root. Vymeňte usernamepodľa toho:

username    ALL=(ALL:ALL) ALL

Uložte a zatvorte súbor ( Ctrl + O a Ctrl + X v nano).

Testovanie vášho nového používateľa

Ak sa chcete prihlásiť do svojho nového používateľského účtu bez logouta login, jednoducho zavolajte na:

su username

Otestujte oprávnenia sudo pomocou tohto príkazu:

sudo apt-get update

Shell vás požiada o heslo. Ak bolo sudo nakonfigurované správne, vaše úložiská by sa mali aktualizovať. V opačnom prípade si prečítajte predchádzajúce kroky.

Teraz sa odhláste od nového používateľa:

exit

Nastavenie sudo je dokončené.

Zabezpečenie SSH

Ďalšia časť tejto príručky zahŕňa zabezpečenie prihlásenia cez ssh na server. Najprv zmeňte heslo root:

passwd root

Vyberte si niečo, čo je ťažké uhádnuť, ale čo si pamätáte.

SSH kľúč

Kľúče SSH predstavujú bezpečnejší spôsob prihlásenia. Ak vás SSH kľúče nezaujímajú, preskočte na ďalšiu časť návodu.

Na vytvorenie kľúča SSH použite nasledujúci dokument Vultr: Ako vygenerujem kľúče SSH?

Po získaní verejného kľúča sa znova prihláste s novým používateľom.

su username

Teraz vytvorte .sshadresár a authorized_keyssúbor v domovskom adresári tohto používateľského účtu.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Pridajte do súboru verejný kľúč, ktorý ste vygenerovali z iného tutoriálu authorized_keys.

 nano .ssh/authorized_keys

Uložte súbor a potom zmeňte povolenia tohto súboru.

chmod 600 .ssh/authorized_keys

Vráťte sa k používateľovi root.

exit

Konfigurácia SSH

Teraz urobíme démona SSH bezpečnejším. Začnime s konfiguračným súborom:

nano /etc/ssh/sshd_config

Zmeňte vstupný port SSH

Tento krok zmení port používaný na prístup k serveru, je to úplne voliteľné, ale odporúčané.

Nájdite riadok s Portkonfiguráciou, mal by vyzerať takto:

Port 22

Teraz zmeňte tento port na ľubovoľný požadovaný port. Musí byť väčšie ako 1024.

Port 4422

Disable root ssh login

This step will disable root login through SSH, it is entirely optional but highly recommended.

Find this line:

PermitRootLogin yes

... and change it to:

PermitRootLogin no

This will make the server more secure against bots that try brute force and/or common passwords with user root and port 22.

Disable X11 forward

This step will disable X11 forwarding, don't do this if you use some remote desktop program to access to your server.

Find the X11 line:

X11Forwarding yes

... and it change to:

X11Forwarding no

Restart SSH daemon

Now that we made the changes to secure the SSH Login, restart the SSH service:

service ssh restart

This will restart and reload the server settings.

Testing changes

Without disconnecting your current ssh session, open a new terminal or PuTTY window and test another SSH login.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Ak je všetko v poriadku, úspešne sme posilnili bezpečnosť vášho servera. Užite si to!