- - 3 způsoby, jak zabezpečit server SSH v systému Linux

3 způsoby, jak zabezpečit server SSH v systému Linux

SSH je úžasné, protože nám umožňuje získat terminálpřístup k jiným Linuxovým PC a serverům přes síť nebo dokonce přes internet! Přesto, jak úžasná je tato technologie, existují některé do očí bijící bezpečnostní problémy, díky nimž je používání nebezpečné. Pokud jste průměrný uživatel, není třeba instalovat složité bezpečnostní nástroje SSH. Místo toho zvažte následující základní kroky pro zabezpečení serveru SSH v systému Linux.

Změnit výchozí port připojení

Zdaleka nejrychlejší a nejjednodušší způsob, jak zabezpečitServer SSH má změnit port, který používá. Ve výchozím nastavení běží server SSH na portu 22. Chcete-li jej změnit, otevřete okno terminálu. V okně terminálu SSH na vzdálený počítač hostující server SSH.

ssh user@local-ip-address

Po přihlášení přeskočte z běžného uživatele na root. Pokud máte rootský účet, přihlaste se pomocí su je dobrá volba. Jinak budete muset získat přístup sudo.

su -

nebo

sudo -s

Nyní, když máte přístup správce, otevřete konfigurační soubor SSH v Nano.

nano /etc/ssh/sshd_config

Procházejte konfiguračním souborem „Port 22“. Odstranit # pokud existuje, pak změňte 22 ″ na jiné číslo. Obvykle postačuje port nad 100, nebo dokonce jeden z rozsahu 1 000. Po změně čísla portu stiskněte klávesu Ctrl + O kombinace kláves pro uložení úprav. Poté ukončete editor stisknutím Ctrl + X.

Úpravou konfiguračního souboru nebude váš server SSH okamžitě přepnut na správný port. Místo toho budete muset službu restartovat ručně.

systemctl restart sshd

Spuštění příkazu systemctl by mělo restartovat démona SSH a použít nová nastavení. Pokud restartování démona selže, je další možností restartovat počítač serveru SSH:

reboot

Po restartování démona (nebo počítače) nebude SSH přístupný přes port 22. Výsledkem je, že připojení přes SSH vyžaduje ruční zadání portu.

Poznámka: Nezapomeňte změnit „1234“ s portem nastaveným v konfiguračním souboru SSH.

ssh -p 1234 user@local-ip-address

Zakázat přihlášení heslem

Dalším skvělým způsobem, jak zabezpečit server SSH, jeodeberte přihlašovací heslo a místo toho přejděte k přihlášení pomocí SSH klíčů. Cesta klíčem SSH vytvoří kruh důvěry mezi serverem SSH a vzdálenými počítači, které mají váš klíč. Je to zašifrovaný soubor s hesly, který je těžké rozbít.

Nastavení pomocí klíče SSH na serveru. Až budou klíče nastaveny, otevřete terminál a otevřete konfigurační soubor SSH.

su -

nebo

sudo -s

Poté otevřete config v Nano pomocí:

nano /etc/ssh/sshd_config

Servery SSH standardně zpracovávají ověřování prostřednictvímheslo uživatele. Pokud máte zabezpečené heslo, je to dobrý způsob, ale šifrovaný klíč SSH na důvěryhodných počítačích je rychlejší, pohodlnější a bezpečnější. Chcete-li dokončit přechod na „přihlášení bez hesla“, podívejte se do konfiguračního souboru SSH. V tomto souboru procházejte a najděte položku s názvem „PasswordAuthentication“.

Odstraňte symbol # z před heslem „PasswordAuthentication“ a ujistěte se, že před ním je slovo „no“. Pokud vše vypadá dobře, uložte úpravy do konfigurace SSH stisknutím Ctrl + O na klávesnici.

Po uložení konfigurace zavřete Nano pomocí Ctrl + Xa restartujte SSHD, abyste provedli změny.

systemctl restart sshd

Pokud nepoužíváte systemd, zkuste místo toho restartovat SSH pomocí tohoto příkazu:

service ssh restart

Až se vzdálený počítač pokusí přihlásit k tomuto serveru SSH, zkontroluje správné klíče a povolí je bez hesla.

Zakázat kořenový účet

Zakázání rootova účtu na vašem SSH serveru jezpůsob, jak zmírnit poškození, ke kterému může dojít, když neoprávněný uživatel získá přístup přes SSH. Chcete-li deaktivovat rootovací účet, je nezbytné, aby alespoň jeden uživatel na vašem SSH serveru mohl získat root pomocí sudo. Tím zajistíte, že v případě potřeby budete moci získat přístup na úrovni systému, bez rootovacího hesla.

Poznámka: Ujistěte se, že uživatelé, kteří mají přístup ke kořenovým oprávněním prostřednictvím sudo, mají zabezpečené heslo nebo deaktivaci účtu superuživatele, je zbytečné.

Chcete-li root zakázat, povýšte terminál na oprávnění superuživatele:

sudo -s

Použití sudo -s obchází potřebu přihlášení pomocí sua místo toho udělí kořenový shell prostřednictvím souboru sudoers. Nyní, když má shell přístup superuživatele, spusťte Heslo příkazem a roamovat Root účet pomocí -zámek.

passwd --lock root

Spuštění výše uvedeného příkazu zakóduje heslo kořenového účtu tak, aby se přihlašovalo prostřednictvím su je nemožné. Od nynějška mohou uživatelé pouze SSH jako lokální uživatelé a pak přepínat na rootův účet pomocí oprávnění sudo.

Přečtěte si také

Namapujte svůj SFTP server jako místní disk pomocí SFTP Net Drive
Jak nastavit aplikaci Stupid Simple Server Monitoring v systému Linux
7 způsobů, jak zlepšit zabezpečení serveru Linux
Jak zabezpečit USB flash disk v Linuxu
Jak nastavit X11 forwarding na Linuxu
Použití Secure Shell: Jak nainstalovat SSH na Linux a užitečné příkazy
Jak používat více připojení SSH na Linuxu s Pssh
Jak hostit FTP server v systému Linux
Jak nastavit jádro Quassel na serveru Ubuntu
Jak nastavit server RocketChat v systému Linux
Snadné zálohování a obnovení souborů v systému Ubuntu Linux pomocí zálohování Deja Dup
Jak nastavit nejlepší server pro stahování v systému Ubuntu Linux

Komentáře