Захист SSH в Ubuntu 14.04

Після того як ви створите новий сервер, ви повинні внести деякі зміни в конфігурацію, щоб посилити безпеку вашого сервера.

Створити нового користувача

Як користувач root, ви маєте привілеї робити з сервером все, що забажаєте, без обмежень. Через це краще уникати використання облікового запису root для кожного завдання на вашому сервері. Почнемо з створення нового користувача. Замініть usernameна потрібне ім’я користувача:

adduser username

Виберіть новий надійний пароль і відповідайте на запитання (або просто натисніть ENTER, щоб використати значення за замовчуванням).

Надання прав користувача root

Нові облікові записи користувачів не мають привілеїв за межами своєї домашньої папки і не можуть запускати команди, які змінюють сервер (наприклад install, update, або upgrade). Щоб уникнути використання облікового запису root, ми надамо користувачам привілеї root. Є два способи зробити це:

Додавання користувача до групи sudo

Найпростіший спосіб — додати користувача до sudoгрупи. Замініть usernameна потрібне ім’я користувача:

adduser username sudo

Це додасть користувача до групи sudo. Ця група має привілей виконувати команди з доступом sudo.

Змінення файлу sudoers

Інший спосіб - помістити користувача у sudoersфайл. Якщо на вашому сервері є кілька користувачів із правами root, то цей підхід є дещо кращим, тому що якщо хтось возиться з sudoгрупою, ви все одно зможете виконувати команди з правами root для роботи на сервері.

Спочатку запустіть цю команду:

visudo

Це відкриє sudoersфайл. Цей файл містить визначення груп і користувачів, які можуть виконувати команди з правами root.

root    ALL=(ALL:ALL) ALL

Після цього рядка введіть своє ім’я користувача та надайте йому повні права root. Замініть usernameвідповідно:

username    ALL=(ALL:ALL) ALL

Збережіть і закрийте файл ( Ctrl + O і Ctrl + X в nano).

Тестування нового користувача

Щоб увійти до свого нового облікового запису користувача без logoutта login, просто зателефонуйте:

su username

Перевірте дозволи sudo за допомогою цієї команди:

sudo apt-get update

Оболонка запитає ваш пароль. Якщо sudo було налаштовано належним чином, ваші репозиторії слід оновити. В іншому випадку перегляньте попередні кроки.

Тепер вийдіть із нового користувача:

exit

Налаштування Sudo завершено.

Захист SSH

Наступна частина цього посібника передбачає захист входу по ssh на сервері. Спочатку змініть пароль root:

passwd root

Виберіть щось, що важко вгадати, але ви можете запам'ятати.

Ключ SSH

Ключі SSH є безпечнішим способом входу. Якщо вас не цікавлять ключі SSH, перейдіть до наступної частини підручника.

Використовуйте такий документ Vultr, щоб створити ключ SSH: Як створити ключі SSH?

Після того як ви отримаєте відкритий ключ , увійдіть під своїм новим користувачем знову.

su username

Тепер створіть .sshкаталог і authorized_keysфайл у домашньому каталозі цього облікового запису користувача.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Додайте відкритий ключ, який ви згенерували з іншого підручника, до authorized_keysфайлу.

 nano .ssh/authorized_keys

Збережіть файл, а потім змініть права доступу до цього файлу.

chmod 600 .ssh/authorized_keys

Поверніться до користувача root.

exit

Конфігурація SSH

Тепер ми зробимо демон SSH більш безпечним. Почнемо з конфігураційного файлу:

nano /etc/ssh/sshd_config

Змінити вхідний порт SSH

Цей крок змінить порт, який використовується для доступу до сервера, він абсолютно необов’язковий, але рекомендований.

Знайдіть рядок з Portконфігурацією, має виглядати так:

Port 22

Тепер змініть цей порт на будь-який, який хочете. Він має бути більше 1024.

Port 4422

Вимкніть вхід через root ssh

Цей крок вимкне вхід root через SSH, він є необов’язковим, але настійно рекомендується .

Знайдіть цей рядок:

PermitRootLogin yes

... і змінити його на:

PermitRootLogin no

Це зробить сервер більш захищеним від ботів, які намагаються використовувати грубу силу та/або звичайні паролі для користувача rootта порту 22.

Вимкніть пересилання X11

Цей крок вимкне пересилання X11. Не робіть цього, якщо ви використовуєте програму віддаленого робочого столу для доступу до свого сервера.

Знайдіть рядок X11:

X11Forwarding yes

... і змінюється на:

X11Forwarding no

Перезапустіть демон SSH

Тепер, коли ми внесли зміни для захисту входу SSH, перезапустіть службу SSH:

service ssh restart

Це перезапустить і перезавантажить налаштування сервера.

Тестування змін

Не відключаючи поточний сеанс ssh, відкрийте новий термінал або вікно PuTTY і перевірте інший логін SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Якщо все вдалось, ми успішно посилили безпеку вашого сервера. Насолоджуйтесь!