SSH yra nuostabus, nes leidžia mums įgyti terminaląprieiga prie kitų „Linux“ asmeninių kompiuterių ir serverių tinkle ar net internetu! Vis dėlto, kad ir kokia nuostabi ši technologija, yra keletas akivaizdžių saugumo problemų, dėl kurių naudoti ją yra nesaugu. Jei esate paprastas vartotojas, nereikia iš tikrųjų įdiegti sudėtingų SSH saugos įrankių. Vietoj to, apsvarstykite šiuos pagrindinius veiksmus, kad apsaugotumėte SSH serverį „Linux“.
Pakeisti numatytąjį jungties prievadą
Iki šiol greičiausias ir lengviausias būdas užsitikrintiSSH serveris turi pakeisti naudojamą prievadą. Pagal numatytuosius nustatymus SSH serveris veikia 22 uoste. Norėdami jį pakeisti, atidarykite terminalo langą. Terminalo lange SSH į nuotolinį asmeninį kompiuterį, kuriame yra SSH serveris.
ssh user@local-ip-address
Prisijungę, pereikite nuo paprasto vartotojo prie „Root“. Jei turite „Root“ sąskaitą, prisijunkite naudodami su yra geras pasirinkimas. Kitaip, jūs turite gauti prieigą su sudo.
su -
arba
sudo -s
Dabar, kai turite administratoriaus prieigą, Nano atidarykite SSH konfigūracijos failą.
nano /etc/ssh/sshd_config
Slinkite per „Port 22“ konfigūracijos failą. Pasalinti # jei yra, tada pakeisk „22 ″ į kitą numerį. Paprastai pakanka uosto, viršijančio 100 ar net vieną iš 1000 diapazonų. Pakeitę prievado numerį, paspauskite „Ctrl“ + O klaviatūros derinys, jei norite išsaugoti pakeitimus. Tada išeikite iš redaktoriaus paspausdami „Ctrl“ + X.
Redaguodamas konfigūracijos failą, SSH serveris nebus nedelsiant perjungtas į teisingą prievadą. Vietoj to turėsite rankiniu būdu paleisti paslaugą.
systemctl restart sshd
Vykdydami „systemctl“ komandą, turėtumėte perkrauti SSH demoną ir pritaikyti naujus parametrus. Jei nepavyksta iš naujo paleisti demono, kita galimybė yra iš naujo paleisti SSH serverio mašiną:
reboot
Iš naujo paleidus demoną (arba kompiuterį), SSH nebus pasiekiamas per 22 prievadą. Todėl prisijungiant per SSH reikia rankiniu būdu nurodyti prievadą.
Pastaba: būtinai pakeiskite „1234“ naudodami prievadą, nustatytą SSH konfigūracijos faile.
ssh -p 1234 user@local-ip-address
Išjungti prisijungimą slaptažodžiu
Kitas puikus būdas apsaugoti SSH serverį yrapašalinkite prisijungimo slaptažodį ir vietoj to pereikite prie prisijungimo per SSH raktus. Einant SSH rakto maršrutu, susidaro pasitikėjimo ratas tarp jūsų SSH serverio ir nuotolinių kompiuterių, kuriuose yra jūsų raktas. Tai yra užšifruotas slaptažodžio failas, kurį sunku nulaužti.
Nustatykite naudodami SSH raktą savo serveryje. Kai jau turite raktus, atidarykite terminalą ir atidarykite SSH konfigūracijos failą.
su -
arba
sudo -s
Tada Nano atidarykite konfigūraciją naudodami:
nano /etc/ssh/sshd_config
Pagal numatytuosius nustatymus SSH serveriai tvarko autentifikavimą pervartotojo slaptažodį. Jei turite saugų slaptažodį, tai yra geras būdas, tačiau užšifruotas SSH raktas patikimose mašinose yra greitesnis, patogesnis ir saugesnis. Norėdami baigti perėjimą prie „be slaptažodžio prisijungimo“, pažiūrėkite į SSH konfigūracijos failą. Šiame faile pereikite ir raskite įrašą, kuriame sakoma: „PasswordAuthentication“.
Pašalinkite # simbolį priešais „PasswordAuthentication“ ir įsitikinkite, kad priešais jį yra žodis „ne“. Jei viskas atrodo gerai, išsaugokite SSH konfigūracijos pakeitimus paspausdami „Ctrl“ + O klaviatūroje.
Išsaugoję konfigūraciją, uždarykite Nano naudodami „Ctrl“ + Xir paleiskite SSHD iš naujo, kad pritaikytumėte pakeitimus.
systemctl restart sshd
Jei nenaudojate „systemd“, pabandykite iš naujo paleisti SSH naudodami šią komandą:
service ssh restart
Kitą kartą nuotolinis kompiuteris bandys prisijungti prie šio SSH serverio, jis patikrins, ar nėra teisingų raktų, ir įleis juos be slaptažodžio.
Išjungti pagrindinę sąskaitą
Išjungti „Root“ sąskaitą jūsų SSH serveryje yrabūdas sumažinti žalą, kuri gali atsirasti, kai neteisėtas vartotojas gauna prieigą per SSH. Norėdami išjungti „Root“ sąskaitą, būtinai bent vienas jūsų SSH serverio vartotojas gali įgyti „Root“ naudodamas sudo. Tai užtikrins, kad vis dar galėsite gauti prieigą sistemos lygiu, jei jums to reikės, be pagrindinio slaptažodžio.
Pastaba: įsitikinkite, kad vartotojai, kurie gali naudotis „Root“ privilegijomis per „sudo“, turi saugų slaptažodį, arba išjungti „superuser“ paskyrą yra beprasmiška.
Norėdami išjungti „Root“, pakelkite terminalą į super vartotojo teises:
sudo -s
Naudojant sudo -s apeinamas poreikis prisijungti su, o vietoj to perduotojo failą suteikia šakninį apvalkalą. Dabar, kai apvalkalas turi superuserio prieigą, paleiskite Slaptažodis komandą ir iššifruokite Root sąskaitą –Raktas.
passwd --lock root
Vykdydami aukščiau pateiktą komandą, jis užšifruoja „Root“ paskyros slaptažodį, kad prisijungtų per su neįmanoma. Nuo šiol vartotojai gali SSH prisijungti tik kaip vietiniai vartotojai, tada perjungti į „Root“ sąskaitą naudodamiesi sudo privilegijomis.
Komentarai