Az SSH fantasztikus, mivel lehetővé teszi, hogy terminál-hozzáférést kapjunk más Linux PC-khez és szerverekhez a hálózaton, vagy akár az interneten keresztül! Bármilyen elképesztő is ez a technológia, van néhány kirívó biztonsági probléma, amelyek nem biztonságossá teszik a használatát. Ha Ön átlagos felhasználó, nincs igazán szükség bonyolult SSH biztonsági eszközök telepítésére. Ehelyett fontolja meg ezeket az alapvető lépéseket az SSH-kiszolgáló Linux rendszeren való biztonságossá tételéhez.
Tartalomjegyzék
Módosítsa az alapértelmezett csatlakozási portot
Az SSH-kiszolgáló biztonságának leggyorsabb és legegyszerűbb módja az általa használt port megváltoztatása. Alapértelmezés szerint az SSH-kiszolgáló a 22-es porton fut. Ennek megváltoztatásához nyisson meg egy terminálablakot. A terminálablakon belül SSH az SSH-kiszolgálót kiszolgáló távoli számítógépre.
ssh [email protected]
Miután bejelentkezett, váltson normál felhasználóról Root-ra. Ha be van kapcsolva a Root fiók, a su-val való bejelentkezés jó választás. Ellenkező esetben a sudo segítségével kell hozzáférnie.
su -
vagy
sudo -s
Most, hogy rendelkezik adminisztrátori hozzáféréssel, nyissa meg az SSH konfigurációs fájlt a Nano alkalmazásban.
nano /etc/ssh/sshd_config
Görgessen végig a „Port 22” konfigurációs fájljában. Távolítsa el a #-t, ha van ilyen, majd módosítsa a „22”-t egy másik számra. Általában egy 100 feletti, vagy akár egy 1000-es port is elegendő. A portszám módosítása után nyomja meg a Ctrl + O billentyűkombinációt a módosítások mentéséhez. Ezután lépjen ki a szerkesztőből a Ctrl + X megnyomásával.
A konfigurációs fájl szerkesztése nem fogja azonnal átállítani az SSH-kiszolgálót a megfelelő port használatára. Ehelyett manuálisan újra kell indítania a szolgáltatást.
systemctl restart sshd
A systemctl parancs futtatásával újra kell indítani az SSH-démont, és alkalmaznia kell az új beállításokat. Ha a démon újraindítása nem sikerül, egy másik lehetőség az SSH-kiszolgáló gépének újraindítása:
reboot
A démon (vagy gép) újraindítása után az SSH nem lesz elérhető a 22-es porton keresztül. Ennek eredményeként az SSH-n keresztüli csatlakozáshoz manuálisan kell megadni a portot.
Megjegyzés: ügyeljen arra, hogy az „1234” értéket módosítsa az SSH konfigurációs fájlban beállított porttal.
ssh -p 1234 [email protected]
Jelszó bejelentkezés letiltása
Az SSH-kiszolgáló biztonságossá tételének másik nagyszerű módja a bejelentkezési jelszó eltávolítása, és helyette az SSH-kulcsokon keresztüli bejelentkezésre való átállás. Az SSH-kulcs útvonalának használata bizalmi kört hoz létre az SSH-kiszolgáló és a kulcsot birtokló távoli gépek között. Ez egy titkosított jelszófájl, amelyet nehéz feltörni.
Állítsa be egy SSH-kulccsal a szerveren. Ha beállította a kulcsokat, nyisson meg egy terminált, és nyissa meg az SSH konfigurációs fájlt.
su -
vagy
sudo -s
Ezután nyissa meg a konfigurációt Nano-ban a következővel:
nano /etc/ssh/sshd_config
Alapértelmezés szerint az SSH-kiszolgálók a felhasználó jelszavával kezelik a hitelesítést. Ha biztonságos jelszóval rendelkezik, ez egy jó út, de a titkosított SSH-kulcs megbízható gépeken gyorsabb, kényelmesebb és biztonságosabb. A „jelszó nélküli bejelentkezésre” való átállás befejezéséhez tekintse meg az SSH konfigurációs fájlt. Ebben a fájlban görgessen végig, és keresse meg a „PasswordAuthentication” bejegyzést.
Távolítsa el a # szimbólumot a „PasswordAuthentication” elől, és győződjön meg róla, hogy előtte a „nem” szó szerepel. Ha minden rendben van, mentse el az SSH-konfiguráció módosításait a Ctrl + O billentyűkombináció lenyomásával.
A konfiguráció mentése után zárja be a Nano-t a Ctrl + X billentyűkombinációval, és indítsa újra az SSHD-t a módosítások alkalmazásához.
systemctl restart sshd
Ha nem használja a systemd-t, próbálja meg újraindítani az SSH-t ezzel a paranccsal:
service ssh restart
Ha legközelebb egy távoli gép megpróbál bejelentkezni erre az SSH-kiszolgálóra, ellenőrzi a megfelelő kulcsokat, és jelszó nélkül beengedi azokat.
Root fiók letiltása
A Root fiók letiltása az SSH-kiszolgálón egy módja annak, hogy mérsékelje azokat a károkat, amelyek akkor fordulhatnak elő, amikor egy illetéktelen felhasználó hozzáfér az SSH-hoz. A Root fiók letiltásához feltétlenül szükséges, hogy az SSH-kiszolgálón legalább egy felhasználó megszerezze a Root-ot sudo segítségével. Ez biztosítja, hogy továbbra is rendszerszintű hozzáférést kapjon, ha szüksége van rá, a root jelszó nélkül.
Megjegyzés: győződjön meg arról, hogy a root jogosultságokhoz sudo-n keresztül hozzáférő felhasználók biztonságos jelszavakkal rendelkeznek, vagy a szuperfelhasználói fiók letiltása értelmetlen.
A Root letiltásához emelje fel a terminált szuperfelhasználói jogosultságokra:
sudo -s
A sudo -s használata megkerüli a su-val való bejelentkezés szükségességét, és ehelyett root parancsértelmezőt biztosít a sudoers fájlon keresztül. Most, hogy a shell rendelkezik szuperfelhasználói hozzáféréssel, futtassa a jelszó parancsot, és keverje össze a Root fiókot a –lock segítségével.
passwd --lock root
A fenti parancs futtatása összekeveri a Root fiók jelszavát, így a su-n keresztüli bejelentkezés lehetetlen. Ezentúl a felhasználók csak helyi felhasználóként léphetnek be az SSH-ba, majd sudo jogosultságokkal válthatnak root fiókra.