امنیت SSH در اوبونتو 14.04

• یک کاربر جدید ایجاد کنید
• دادن امتیازات اصلی کاربر
• امنیت SSH

بعد از ایجاد یک سرور جدید ، ترفندهایی برای پیکربندی وجود دارد که باید آنها را برای سخت تر کردن امنیت سرور خود انجام دهید.

یک کاربر جدید ایجاد کنید

به عنوان کاربر روت ، شما حق انجام هر کاری را که می خواهید با سرور داشته باشید - محدودیتی ندارید. به همین دلیل ، بهتر است از استفاده از حساب کاربر root برای هر کار روی سرور خودداری کنید. بیایید با ساختن یک کاربر جدید شروع کنیم. usernameبا نام کاربری دلخواه جایگزین کنید:

adduser username

یک رمز عبور ایمن جدید را انتخاب کنید و به همین ترتیب به سؤالات پاسخ دهید (یا برای استفاده از مقدار پیش فرض فقط وارد ENTER شوید).

دادن امتیازات اصلی کاربر

حساب کاربری جدید امتیازات خارج از پوشه خانه خود را ندارند و می توانید دستورات است که سرور را تغییر اجرا کنید (مانند install، updateو یا upgrade). برای جلوگیری از استفاده از حساب root ، ما به کاربر امتیازات اصلی می دهیم. دو راه برای انجام این کار وجود دارد:

افزودن کاربر به گروه سودو

راه آسان اضافه کردن کاربر به sudoگروه است. usernameبا نام کاربری دلخواه جایگزین کنید:

adduser username sudo

این کار کاربر را به گروه اضافه می کند sudo. این گروه امتیاز اجرای دستورات با دسترسی sudo را دارند.

تغییر پرونده sudoers

راه دیگر این است که کاربر خود را در sudoersپرونده قرار دهید. اگر سرور شما دارای چندین کاربر دارای امتیازات root است ، بنابراین این رویکرد تا حدودی بهتر است زیرا اگر کسی با این sudoگروه مشکلی ایجاد کند ، شما همچنان قادر به اجرای دستورات با امتیازات اصلی برای کار بر روی سرور خواهید بود.

ابتدا این دستور را اجرا کنید:

visudo

با این کار sudoersپرونده باز می شود. این پرونده شامل تعریف گروه ها و کاربرانی است که می توانند دستوراتی را با امتیازات اصلی اجرا کنند.

root    ALL=(ALL:ALL) ALL

پس از این خط ، نام کاربری خود را بنویسید و به آن امتیازات کامل بدهید. usernameبر این اساس جایگزین کنید :

username    ALL=(ALL:ALL) ALL

پرونده را ذخیره کرده و ببندید ( Ctrl + O و Ctrl + X در نانو).

کاربر جدید خود را آزمایش کنید

برای ورود به حساب کاربری جدید خود بدون logoutو loginبه سادگی تماس بگیرید:

su username

مجوزهای sudo را با استفاده از این دستور آزمایش کنید:

sudo apt-get update

این پوسته رمز عبور شما را می خواهد. اگر sudo به درستی پیکربندی شده است ، باید مخازن شما به روز شود. در غیر این صورت مراحل قبلی را مرور کنید.

اکنون ، از کاربر جدید خارج شوید:

exit

راه اندازی سودو کامل است.

امنیت SSH

قسمت بعدی این راهنما شامل ورود به سیستم ssh به سرور می باشد. ابتدا رمز اصلی را تغییر دهید:

passwd root

حدس زدن چیزی دشوار است ، اما می توانید آن را به خاطر بسپارید.

کلید SSH

کلیدهای SSH راهی مطمئن تر برای ورود به سیستم هستند. اگر به کلیدهای SSH علاقه ندارید ، به قسمت بعدی آموزش بروید.

برای ساختن کلید SSH از Doc Vultr Doc استفاده کنید: چگونه می توان کلیدهای SSH تولید کرد؟

بعد از اینکه کلید عمومی خود را دریافت کردید ، دوباره با کاربر جدید خود وارد شوید

su username

اکنون .sshدایرکتوری و authorized_keysپرونده را در فهرست اصلی آن حساب کاربری قرار دهید.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

کلید عمومی ایجاد شده از آموزش دیگر را به authorized_keysپرونده اضافه کنید.

 nano .ssh/authorized_keys

پرونده را ذخیره کنید ، سپس مجوزهای آن پرونده را تغییر دهید.

chmod 600 .ssh/authorized_keys

به کاربر اصلی برگردید.

exit

پیکربندی SSH

در حال حاضر ما daemon SSH را ایمن تر خواهیم کرد. بیایید با پرونده پیکربندی شروع کنیم:

nano /etc/ssh/sshd_config

پورت ورودی SSH را تغییر دهید

در این مرحله پورت مورد استفاده برای دسترسی به سرور تغییر می یابد ، کاملاً اختیاری است اما توصیه می شود.

خط را با Portپیکربندی پیدا کنید ، باید به صورت زیر باشد:

Port 22

اکنون این پورت را به هر پورت مورد نظر خود تغییر دهید. باید بیشتر از 1024 باشد.

Port 4422

غیرفعال کردن ورود به سیستم root ssh

این مرحله ورود به سیستم ریشه را از طریق SSH غیرفعال می کند ، کاملاً اختیاری است اما بسیار توصیه می شود .

یافتن این خط:

PermitRootLogin yes

... و آن را به:

PermitRootLogin no

این باعث می شود سرور در برابر ربات هایی که زورگویی سخت و یا رمزهای عبور مشترک را با کاربر rootو پورت 22 امتحان می کنند ، ایمن تر شود .

X11 را به جلو غیرفعال کنید

این مرحله انتقال X11 را غیرفعال می کند ، در صورت استفاده از برخی برنامه دسک تاپ از راه دور برای دسترسی به سرور خود ، این کار را نکنید.

خط X11 را پیدا کنید:

X11Forwarding yes

... و آن را به:

X11Forwarding no

راه انداز SSH را مجدداً راه اندازی کنید

اکنون که ما برای ایجاد امنیت SSH تغییراتی ایجاد کرده ایم ، سرویس SSH را مجدداً راه اندازی کنید:

service ssh restart

این تنظیمات سرور را مجدداً بارگیری و بارگیری مجدد می شود.

آزمایش تغییر می کند

بدون جدا کردن جلسه ssh فعلی ، یک ترمینال جدید یا پنجره PuTTY را باز کنید و ورود به سیستم SSH دیگر را امتحان کنید.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

اگر همه چیز بررسی شود ، ما امنیت سرور شما را با موفقیت سخت کرده ایم. لذت بردن!