ssh biztonság ubuntu
Az egyik legfontosabb dolog, amit meg kell tennie, amint a kapcsolat a szerver Ubuntu az internetre - természetesen elleni védelmet az illetéktelen hozzáférést a menedzsment szerver SSH-n keresztül. Ha nem, akkor nagyon gyorsan speciálisan írt programok átkutat egy nagy kiterjedésű hálózaton, azt találjuk, hogy a szerver nyitott port 22, és hogy a teljes irányítást a rendszer elég kitalálni a jelszót a root felhasználó. Természetesen teljes védelem nem létezik, de bonyolítja a feladat, hogy a támadó, mi eléggé képes. A történet a védelmi módszereket ssh fogom vezetni, figyelembe véve a lehetséges funkciók dedikált szerverek teljes Ubuntu, valamint a VPS / VDS szervereket.
Biztonságos hozzáférés ssh-n keresztül mindenképpen szükség van. Ha még nem tette meg, akkor csak nézd meg /var/log/auth.log fájlt fájlt. Bizonyára van egy rekord kísérlet a jogosulatlan hozzáférést a rendszer.
sudo nano / etc / ssh / sshd_config
Az egyik első sorban Port irányelvet. Cserélje a port számát 22 az egyik nem szabványos portok, mint például a 4118.
# Milyen portokat, IP protokollok és hallgatjuk a Port 4118
Ezután indítsa újra az ssh-kiszolgáló:
sudo service ssh restart
... és előre elveszítjük a kapcsolatot a szerverrel. Ezért újra kapcsolódni az ssh, de most rámutat arra, hogy csatlakozzon az új port beállításokat, mint például:
ssh -p 4118 [email protected]
Változás ssh port szám lehetővé teszi, hogy megszabaduljunk a legtöbb nyers erő kísérleteit automatizált programok. Azonban a több szakmai törekvései a jogosulatlan hozzáférést a rendszer, ez a lépés nem fogja megmenteni. Együtt kell használni más védelmi módszereket.
Ezért létre egy új teszt számla megmutatja, hogyan lehet létrehozni egy új felhasználót, és adjon neki a jogot, hogy hajtsa végre a sudo parancsot. Valójában, először hozzon létre egy új felhasználót. Feltételezzük, hogy az új felhasználó létrehozásakor ki a root fiókot, így szándékosan kihagyja a kulcsszó előtt sudo adduser:
Ezután meg kell találni, aki a rendszert hagyjuk, hogy végre parancsokat, a kulcsszó sudo. Ehhez meg kell vizsgálnunk a visudo file:
Ebben a fájlban, akkor meg a következő sorokat:
A fentiek szerint azt jelentik, hogy futtatni parancsokat nevében a szuper rendszergazda root felhasználó és a felhasználók, amelyek a csoportban sudo és admin. Ezért elegendő helyet az új felhasználó az egyik ilyen csoport. visudo fájlt, eközben le kell zárni anélkül, hogy változtatásokat. Ezután adjuk hozzá a teszt felhasználói csoport sudo:
usermod -a -G sudo teszt
Annak érdekében, hogy a felhasználói teszt került a sudo-csoport, akkor futtassa a következő parancsot:
Ezután zárja le a ssh root felhasználóként jelentkezzen be a felhasználói teszt (ne felejtsük, hogy megváltozott a port számát az első lépés), és tiltsa le a fiókot root:
logout ssh -p 4118 [email protected] sudo passwd -l root
Az alapértelmezett kulcs tárolja a felhasználó home könyvtárában fájlok
/.ssh/id_rsa (privát kulcs) és
scp -P 4118 [email protected]:
Ez a parancs betölti a id_rsa.pub fájlt a kiszolgálón example.org a home könyvtár a felhasználó vizsgálat. Szintén ebben ssh port Állítsa be az egyéni szám: 4118. Ezután már a távoli szerveren felvenni kívánt tartalmát id_rsa.pub fájlt egy fájlba
/.ssh/authorized_keys a home könyvtár a felhasználó, amelyek alapján szeretnénk bejelentkezni, a kapcsolatfelvételi generált kulcsot. Hozzáadása után az authorized_keys forrás fájlt a nyilvános kulcsot el lehet távolítani.
ssh -p 4118 -v [email protected]
# Váltás nincs meg kikapcsolni alagutakat, tiszta szöveges jelszóval PasswordAuthentication nincs
Marad, hogy indítsa újra a ssh:
sudo service ssh restart
Először is, meg denyhosts a tárolóban:
sudo aptitude install denyhosts
Közvetlenül a telepítés után denyhosts már kész, de azt javasoljuk, hogy figyelni, hogy bizonyos beállításokat, amelyek /etc/denyhosts.conf fájlt.
Először is, ez az irányelv PURGE_DENY, amely meghatározza azt az időt, amelyre szeretné tárolni a blokkolt ip a hosts.deny listán. Alapértelmezés szerint ez az irányelv tartalmaz egy null értéket, ami azt jelenti, hogy a lista nem törlődik hosts.deny valaha.
Ezért azt javasoljuk, hogy ez a beállítás értéke néhány órát.
Annak érdekében, hogy az új beállítások életbe léptetéséhez újra kell indítani a denyhosts:
sudo service denyhosts újraindul