SSH είναι φοβερό, καθώς μας επιτρέπει να κερδίσουμε τερματικάπρόσβαση σε άλλους υπολογιστές και διακομιστές Linux μέσω του δικτύου ή ακόμα και στο διαδίκτυο! Ακόμα, επειδή είναι τόσο καταπληκτική όσο αυτή η τεχνολογία, υπάρχουν κάποιες ασυναγώνιστες πτυχές ασφαλείας που κάνουν τη χρήση της μη ασφαλής. Εάν είστε ένας μέσος χρήστης, δεν υπάρχει πραγματική ανάγκη να εγκαταστήσετε πολύπλοκα εργαλεία ασφαλείας SSH. Αντ 'αυτού, σκεφτείτε να ακολουθήσετε αυτά τα βασικά βήματα για να εξασφαλίσετε έναν διακομιστή SSH στο Linux.
Αλλαγή θύρας σύνδεσης προεπιλογής
Μέχρι στιγμής ο πιο γρήγορος και ευκολότερος τρόπος για να εξασφαλίσετε έναΟ διακομιστής SSH πρόκειται να αλλάξει τη θύρα που χρησιμοποιεί. Από προεπιλογή, ο διακομιστής SSH εκτελείται στη θύρα 22. Για να το αλλάξετε, ανοίξτε ένα παράθυρο τερματικού. Μέσα στο παράθυρο του τερματικού, SSH στον απομακρυσμένο υπολογιστή που φιλοξενεί διακομιστή SSH.
ssh user@local-ip-address
Μόλις συνδεθείτε, αποθέστε από έναν κανονικό χρήστη στο Root. Εάν έχετε ενεργοποιήσει τον λογαριασμό Root, συνδεθείτε με su είναι μια καλή επιλογή. Αλλιώς, θα πρέπει να έχετε πρόσβαση sudo.
su -
ή
sudo -s
Τώρα που έχετε πρόσβαση διαχειριστή, ανοίξτε το αρχείο ρυθμίσεων SSH στο Nano.
nano /etc/ssh/sshd_config
Μετακινηθείτε στο αρχείο ρυθμίσεων για τη "Θύρα 22". Αφαιρέστε το # # αν υπάρχει, τότε αλλάξτε "22 "σε άλλο αριθμό. Συνήθως, θα είναι αρκετή μια θύρα άνω των 100 ή ακόμα και μία στην περιοχή 1.000. Αφού αλλάξετε τον αριθμό θύρας, πατήστε το Ctrl + O πληκτρολογίου για να αποθηκεύσετε τις επεξεργασίες. Στη συνέχεια, βγείτε από τον επεξεργαστή πατώντας Ctrl + X.
Η επεξεργασία του αρχείου ρύθμισης παραμέτρων δεν πρόκειται να αλλάξει αμέσως τον διακομιστή SSH στη σωστή θύρα. Αντ 'αυτού, θα πρέπει να επανεκκινήσετε με μη αυτόματο τρόπο την υπηρεσία.
systemctl restart sshd
Η εκτέλεση της εντολής systemctl θα πρέπει να κάνει επανεκκίνηση του daemon SSH και να εφαρμόσει τις νέες ρυθμίσεις. Εάν αποκατασταθεί η επανεκκίνηση του δαίμονα, άλλη επιλογή είναι να επανεκκινήσετε τη μηχανή διακομιστή SSH:
reboot
Μετά την επανεκκίνηση του δαίμονα (ή του μηχανήματος), το SSH δεν θα είναι προσβάσιμο μέσω της θύρας 22. Κατά συνέπεια, η σύνδεση μέσω SSH απαιτεί τη χειροκίνητη προσδιορισμό της θύρας.
Σημείωση: Βεβαιωθείτε ότι έχετε αλλάξει το "1234" με τη θύρα που έχει οριστεί στο αρχείο ρυθμίσεων SSH.
ssh -p 1234 user@local-ip-address
Απενεργοποίηση σύνδεσης κωδικού πρόσβασης
Ένας άλλος πολύ καλός τρόπος για να εξασφαλίσετε έναν διακομιστή SSH είναι νααφαιρέστε τον κωδικό πρόσβασης και, στη συνέχεια, τη μετάβαση στη σύνδεση μέσω SSH κλειδιών. Η μετάβαση στη διαδρομή του κλειδιού SSH δημιουργεί έναν κύκλο εμπιστοσύνης μεταξύ του διακομιστή SSH και των απομακρυσμένων μηχανών που έχουν το κλειδί σας. Είναι ένα κρυπτογραφημένο αρχείο κωδικών πρόσβασης που είναι δύσκολο να σπάσει.
Ρυθμίστε με ένα κλειδί SSH στο διακομιστή σας. Όταν έχετε ρυθμίσει τα κλειδιά, ανοίξτε ένα τερματικό και ανοίξτε το αρχείο ρυθμίσεων SSH.
su -
ή
sudo -s
Στη συνέχεια, ανοίξτε το config στο Nano με:
nano /etc/ssh/sshd_config
Από προεπιλογή, οι διακομιστές SSH χειρίζονται τον έλεγχο ταυτότητας μέσωτον κωδικό πρόσβασης του χρήστη. Αν έχετε έναν ασφαλή κωδικό πρόσβασης, αυτός είναι ένας καλός τρόπος για να προχωρήσετε, αλλά ένα κρυπτογραφημένο κλειδί SSH σε αξιόπιστες μηχανές είναι ταχύτερο, πιο βολικό και ασφαλές. Για να ολοκληρώσετε τη μετάβαση στην "χωρίς κωδικό πρόσβασης", ανατρέξτε στο αρχείο ρυθμίσεων SSH. Μέσα σε αυτό το αρχείο, μετακινηθείτε και βρείτε την καταχώρηση που λέει "PasswordAuthentication".
Καταργήστε το σύμβολο # από το μπροστά από το "PasswordAuthentication" και βεβαιωθείτε ότι έχει τη λέξη "όχι" μπροστά του. Εάν όλα φαίνονται καλά, αποθηκεύστε τις αλλαγές στη διαμόρφωση SSH πατώντας Ctrl + O στο πληκτρολόγιο.
Αφού αποθηκεύσετε τη διαμόρφωση, κλείστε το Nano με Ctrl + X, και κάντε επανεκκίνηση του SSHD για να εφαρμόσετε τις αλλαγές.
systemctl restart sshd
Εάν δεν χρησιμοποιείτε systemd, δοκιμάστε να κάνετε επανεκκίνηση του SSH με αυτήν την εντολή αντί:
service ssh restart
Την επόμενη φορά που ένα απομακρυσμένο μηχάνημα επιχειρεί να συνδεθεί σε αυτόν τον διακομιστή SSH, θα ελέγξει για τα σωστά κλειδιά και θα τα αφήσει χωρίς κωδικό πρόσβασης.
Απενεργοποίηση λογαριασμού ρίζας
Απενεργοποίηση του λογαριασμού Root στον διακομιστή SSH σας είναιένας τρόπος να μετριαστεί η ζημιά που μπορεί να προκύψει όταν ένας μη εξουσιοδοτημένος χρήστης αποκτήσει πρόσβαση μέσω SSH. Για να απενεργοποιήσετε τον λογαριασμό Root, είναι επιτακτικό ότι τουλάχιστον ένας χρήστης του διακομιστή SSH σας μπορεί να κερδίσει Root μέσω sudo. Αυτό θα διασφαλίσει ότι μπορείτε ακόμα να αποκτήσετε πρόσβαση σε επίπεδο συστήματος αν το χρειάζεστε, χωρίς τον κωδικό Root.
Σημείωση: Βεβαιωθείτε ότι οι χρήστες που έχουν πρόσβαση στα δικαιώματα Root μέσω του sudo έχουν ασφαλή κωδικό πρόσβασης ή απενεργοποίηση του λογαριασμού superuser είναι άσκοπο.
Για να απενεργοποιήσετε τη λειτουργία Root, ανυψώστε το τερματικό με τα δικαιώματα υπερήχου:
sudo -s
Η χρήση του sudo -s παρακάμπτει την ανάγκη σύνδεσης με su, και παράλληλα παρέχει ένα ριζικό κέλυφος μέσω του αρχείου sudoers. Τώρα που το κέλυφος έχει πρόσβαση σε υπερχρήστη, εκτελέστε το Κωδικός πρόσβασης εντολή και ανακατασκευή του λογαριασμού Root με -κλειδαριά.
passwd --lock root
Η εκτέλεση της παραπάνω εντολής ανακατεύει τον κωδικό πρόσβασης του λογαριασμού Root έτσι ώστε να συνδεθείτε μέσω su είναι αδύνατο. Από δω και στο εξής, οι χρήστες μπορούν να έχουν μόνο SSH ως τοπικούς χρήστες και μετά να μεταβούν σε λογαριασμό Root μέσω προνομίων sudo.
Σχόλια