Mengamankan SSH di Ubuntu 14.04

• Buat pengguna baru
• Memberi hak root pengguna
• Menjamin SSH

Selepas anda membuat pelayan baru, terdapat beberapa penyesuaian konfigurasi yang harus anda buat untuk mengeraskan keselamatan pelayan anda.

Buat pengguna baru

Sebagai pengguna root, anda mempunyai hak untuk melakukan apa sahaja yang anda mahukan dengan pelayan - tanpa sekatan. Oleh kerana itu, adalah lebih baik untuk tidak menggunakan akaun pengguna root untuk setiap tugas di pelayan anda. Mari mulakan dengan membuat pengguna baru. Ganti usernamedengan nama pengguna yang dikehendaki:

adduser username

Pilih kata laluan selamat baru dan jawab soalan dengan sewajarnya (atau tekan ENTER untuk menggunakan nilai lalai).

Memberi hak root pengguna

Akaun pengguna baru tidak mempunyai keistimewaan luar folder rumah mereka dan tidak boleh menjalankan arahan yang akan mengubah pelayan (seperti install, updateatau upgrade). Untuk mengelakkan penggunaan akaun root, kami akan memberikan hak root kepada pengguna. Terdapat dua cara untuk melakukan ini:

Menambah pengguna ke kumpulan sudo

Cara mudah adalah dengan menambahkan pengguna ke sudokumpulan. Ganti usernamedengan nama pengguna yang dikehendaki:

adduser username sudo

Ini akan menambahkan pengguna ke kumpulan sudo. Kumpulan ini mempunyai hak istimewa untuk menjalankan perintah dengan akses sudo.

Mengubah fail sudoers

Cara lain adalah meletakkan pengguna anda dalam sudoersfail. Sekiranya pelayan anda mempunyai beberapa pengguna dengan hak istimewa root, maka pendekatan ini agak lebih baik kerana jika seseorang bermain-main dengan sudokumpulan, anda masih dapat menjalankan perintah dengan hak root untuk bekerja di pelayan.

Pertama, jalankan arahan ini:

visudo

Ini akan membuka sudoersfail. Fail ini mengandungi definisi kumpulan dan pengguna yang dapat menjalankan perintah dengan hak root.

root    ALL=(ALL:ALL) ALL

Selepas baris ini, tulis nama pengguna anda dan berikan hak root sepenuhnya. Ganti dengan usernamesewajarnya:

username    ALL=(ALL:ALL) ALL

Simpan dan tutup fail ( Ctrl + O dan Ctrl + X di nano).

Menguji pengguna baru anda

Untuk log masuk ke akaun pengguna baru anda tanpa logoutdan login, hubungi:

su username

Uji kebenaran sudo menggunakan arahan ini:

sudo apt-get update

Shell akan meminta kata laluan anda. Sekiranya sudo dikonfigurasi dengan betul, maka repositori anda harus dikemas kini. Jika tidak, semak langkah sebelumnya.

Sekarang, log keluar dari pengguna baru:

exit

Persiapan Sudo selesai.

Menjamin SSH

Bahagian seterusnya dari panduan ini melibatkan keselamatan masuk ssh ke pelayan. Pertama, ubah kata laluan root:

passwd root

Pilih sesuatu yang sukar ditebak, tetapi yang anda ingat

Kekunci SSH

Kekunci SSH adalah kaedah masuk yang lebih selamat. Sekiranya anda tidak berminat dengan kunci SSH, lompat ke bahagian tutorial seterusnya.

Gunakan Dokumen Vultr berikut untuk membuat kunci SSH: Bagaimana Saya Menjana Kunci SSH?

Setelah anda mendapat kunci awam anda , log masuk dengan pengguna baru anda sekali lagi.

su username

Sekarang buat .sshdirektori dan authorized_keysfail di direktori utama akaun pengguna tersebut.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Tambahkan kunci awam yang anda hasilkan dari tutorial lain ke authorized_keysfail.

 nano .ssh/authorized_keys

Simpan fail, kemudian ubah kebenaran fail tersebut.

chmod 600 .ssh/authorized_keys

Kembali kepada pengguna root.

exit

Konfigurasi SSH

Sekarang kita akan menjadikan daemon SSH lebih selamat. Mari mulakan dengan fail konfigurasi:

nano /etc/ssh/sshd_config

Tukar port masuk SSH

Langkah ini akan mengubah port yang digunakan untuk mengakses pelayan, sepenuhnya pilihan tetapi disyorkan.

Cari garis dengan Portkonfigurasi, akan kelihatan seperti ini:

Port 22

Sekarang ubah port ini ke mana-mana port yang anda mahukan. Ia mesti lebih besar daripada 1024.

Port 4422

Lumpuhkan log masuk root ssh

Langkah ini akan melumpuhkan log masuk root melalui SSH, sepenuhnya pilihan tetapi sangat disyorkan .

Cari baris ini:

PermitRootLogin yes

... dan ubah kepada:

PermitRootLogin no

Ini akan menjadikan pelayan lebih selamat daripada bot yang mencuba kekerasan dan / atau kata laluan biasa dengan pengguna rootdan port 22.

Lumpuhkan X11 ke hadapan

Langkah ini akan mematikan penerusan X11, jangan lakukan ini jika anda menggunakan beberapa program desktop jauh untuk mengakses ke pelayan anda.

Cari baris X11:

X11Forwarding yes

... dan berubah menjadi:

X11Forwarding no

Mulakan semula daemon SSH

Setelah membuat perubahan untuk mendapatkan SSH Login, mulakan semula perkhidmatan SSH:

service ssh restart

Ini akan memulakan semula dan memuatkan semula tetapan pelayan.

Ujian berubah

Tanpa memutuskan sesi ssh semasa anda, buka terminal baru atau tetingkap PuTTY dan uji log masuk SSH yang lain.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Sekiranya semuanya selesai, kami berjaya mengukuhkan keselamatan pelayan anda. Selamat mencuba!