ССХ је сјајан, јер нам омогућава да добијемо терминалски приступ другим Линук рачунарима и серверима преко мреже, или чак интернета! Ипак, колико год ова технологија била невероватна, постоје неки очигледни безбедносни проблеми који чине њено коришћење небезбедним. Ако сте просечан корисник, нема стварне потребе да инсталирате компликоване ССХ безбедносне алате. Уместо тога, размотрите следеће основне кораке да бисте обезбедили ССХ сервер на Линук-у.
Преглед садржаја
Промените подразумевани порт за везу
Далеко најбржи и најлакши начин да обезбедите ССХ сервер је да промените порт који користи. Подразумевано, ССХ сервер ради на порту 22. Да бисте га променили, отворите прозор терминала. Унутар прозора терминала, ССХ ка удаљеном рачунару који хостује ССХ сервер.
ssh [email protected]
Када се пријавите, пређите са обичног корисника на Роот. Ако имате Роот налог, пријављивање са су је добар избор. У супротном, мораћете да добијете приступ помоћу судо.
su -
или
sudo -s
Сада када имате администраторски приступ, отворите ССХ конфигурациону датотеку у Нано-у.
nano /etc/ssh/sshd_config
Померите се кроз конфигурациону датотеку за „Порт 22“. Уклоните # ако постоји, а затим промените „22″ у други број. Обично ће бити довољан порт изнад 100, или чак један у опсегу од 1000. Након што промените број порта, притисните комбинацију тастатуре Цтрл + О да бисте сачували измене. Затим изађите из уређивача притиском на Цтрл + Кс.
Уређивање конфигурационе датотеке неће одмах пребацити ваш ССХ сервер на исправан порт. Уместо тога, мораћете ручно да поново покренете услугу.
systemctl restart sshd
Покретање команде системцтл би требало да поново покрене ССХ демон и примени нова подешавања. Ако поновно покретање демона не успе, друга опција је да поново покренете ССХ сервер машину:
reboot
Након поновног покретања демона (или машине), ССХ неће бити доступан преко порта 22. Као резултат тога, повезивање преко ССХ захтева ручно навођење порта.
Напомена: обавезно промените „1234“ са портом постављеним у ССХ конфигурационој датотеци.
ssh -p 1234 [email protected]
Онемогућите пријаву лозинком
Још један одличан начин да обезбедите ССХ сервер је уклањање лозинке за пријаву и уместо тога прелазак на пријављивање преко ССХ кључева. Прелазак путем ССХ кључа ствара круг поверења између вашег ССХ сервера и удаљених машина које имају ваш кључ. То је шифрована датотека лозинке коју је тешко разбити.
Подесите помоћу ССХ кључа на вашем серверу. Када сте подесили кључеве, отворите терминал и отворите ССХ конфигурациону датотеку.
su -
или
sudo -s
Затим отворите конфигурацију у Нано са:
nano /etc/ssh/sshd_config
Подразумевано, ССХ сервери управљају аутентификацијом преко корисничке лозинке. Ако имате безбедну лозинку, ово је добар начин да идете, али шифровани ССХ кључ на поузданим машинама је бржи, практичнији и безбеднији. Да бисте завршили прелазак на „пријаву без лозинке“, погледајте ССХ конфигурациону датотеку. Унутар ове датотеке, скролујте и пронађите унос који каже „Потврда лозинке“.
Уклоните симбол # испред „ПассвордАутхентицатион“ и уверите се да има реч „не“ испред себе. Ако све изгледа добро, сачувајте измене у ССХ конфигурацији притиском на Цтрл + О на тастатури.
Након што сачувате конфигурацију, затворите Нано помоћу Цтрл + Кс и поново покрените ССХД да бисте применили промене.
systemctl restart sshd
Ако не користите системд, покушајте да поново покренете ССХ са овом командом:
service ssh restart
Следећи пут када удаљена машина покуша да се пријави на овај ССХ сервер, провериће да ли постоје тачни кључеви и пустити их унутра, без лозинке.
Онемогућите роот налог
Онемогућавање Роот налога на вашем ССХ серверу је начин да се ублажи штета која може настати када неовлашћени корисник добије приступ преко ССХ-а. Да бисте онемогућили Роот налог, неопходно је да бар један корисник на вашем ССХ серверу може да добије Роот преко судо. Ово ће осигурати да и даље можете добити приступ на нивоу система ако вам је потребан, без Роот лозинке.
Напомена: уверите се да корисници који могу да приступе Роот привилегијама преко судо-а имају сигурну лозинку, или је онемогућавање налога суперкорисника бесмислено.
Да бисте онемогућили Роот, подигните терминал на привилегије суперкорисника:
sudo -s
Коришћење судо -с заобилази потребу да се пријавите помоћу су, и уместо тога даје роот схелл преко судоерс датотеке. Сада када љуска има приступ суперкорисника, покрените команду лозинке и шифрујте Роот налог помоћу –лоцк.
passwd --lock root
Покретање горње команде шифрира лозинку роот налога тако да је пријављивање преко су немогуће. Од сада, корисници могу само ССХ да улазе као локални корисник, а затим се пребаце на Роот налог преко судо привилегија.