Zabezpieczanie SSH na Ubuntu 14.04

• Utwórz nowego użytkownika
• Nadawanie uprawnień użytkownika root
• Zabezpieczanie SSH

Po utworzeniu nowego serwera należy wprowadzić kilka poprawek w konfiguracji, aby wzmocnić bezpieczeństwo serwera.

Utwórz nowego użytkownika

Jako użytkownik root masz uprawnienia do robienia z serwerem wszystkiego, co chcesz - bez ograniczeń. Z tego powodu lepiej unikać korzystania z konta użytkownika root dla każdego zadania na serwerze. Zacznijmy od stworzenia nowego użytkownika. Zastąp usernameżądaną nazwą użytkownika:

adduser username

Wybierz nowe bezpieczne hasło i odpowiednio odpowiedz na pytania (lub po prostu naciśnij ENTER, aby użyć wartości domyślnej).

Nadawanie uprawnień użytkownika root

Nowe konta użytkowników nie ma uprawnień poza swoim katalogu domowym i nie można uruchomić polecenia, które zmieniają serwer (jak install, updatelub upgrade). Aby uniknąć korzystania z konta root, przyznamy uprawnienia użytkownika root. Można to zrobić na dwa sposoby:

Dodanie użytkownika do grupy sudo

Prostym sposobem jest dodanie użytkownika do sudogrupy. Zastąp usernameżądaną nazwą użytkownika:

adduser username sudo

Spowoduje to dodanie użytkownika do grupy sudo. Ta grupa ma uprawnienia do uruchamiania poleceń z dostępem sudo.

Modyfikowanie pliku sudoers

Innym sposobem jest umieszczenie użytkownika w sudoerspliku. Jeśli twój serwer ma wielu użytkowników z uprawnieniami roota, to takie podejście jest nieco lepsze, ponieważ jeśli ktoś zadziała z sudogrupą, nadal będziesz mógł uruchamiać polecenia z uprawnieniami roota, aby pracować na serwerze.

Najpierw uruchom to polecenie:

visudo

Spowoduje to otwarcie sudoerspliku. Ten plik zawiera definicje grup i użytkowników, którzy mogą uruchamiać polecenia z uprawnieniami administratora.

root    ALL=(ALL:ALL) ALL

Po tym wierszu wpisz swoją nazwę użytkownika i nadaj jej pełne uprawnienia root. Zastąp usernameodpowiednio:

username    ALL=(ALL:ALL) ALL

Zapisz i zamknij plik ( Ctrl + O i Ctrl + X w nano).

Testowanie nowego użytkownika

Aby zalogować się na nowe konto użytkownika bez logouti loginpo prostu zadzwoń:

su username

Przetestuj uprawnienia sudo za pomocą tego polecenia:

sudo apt-get update

Powłoka poprosi o podanie hasła. Jeśli sudo zostało poprawnie skonfigurowane, twoje repozytoria powinny zostać zaktualizowane. W przeciwnym razie przejrzyj poprzednie kroki.

Teraz wyloguj się od nowego użytkownika:

exit

Konfiguracja Sudo została zakończona.

Zabezpieczanie SSH

Następna część tego przewodnika obejmuje zabezpieczenie logowania ssh na serwerze. Najpierw zmień hasło roota:

passwd root

Wybierz coś trudnego do odgadnięcia, ale o którym pamiętasz.

Klucz SSH

Klucze SSH to bezpieczniejszy sposób logowania. Jeśli nie interesują Cię klucze SSH, przejdź do następnej części samouczka.

Skorzystaj z następującego Vultr Doc, aby utworzyć klucz SSH: Jak wygenerować klucze SSH?

Po otrzymaniu klucza publicznego zaloguj się ponownie przy użyciu nowego użytkownika.

su username

Teraz utwórz .sshkatalog i authorized_keysplik w katalogu domowym tego konta użytkownika.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Dodaj klucz publiczny wygenerowany z innego samouczka do authorized_keyspliku.

 nano .ssh/authorized_keys

Zapisz plik, a następnie zmień uprawnienia do tego pliku.

chmod 600 .ssh/authorized_keys

Wróć do użytkownika root.

exit

Konfiguracja SSH

Teraz sprawimy, że demon SSH będzie bezpieczniejszy. Zacznijmy od pliku konfiguracyjnego:

nano /etc/ssh/sshd_config

Zmień port przychodzący SSH

Ten krok zmieni port używany do uzyskania dostępu do serwera, jest całkowicie opcjonalny, ale zalecany.

Znajdź linię z Portkonfiguracją, powinna wyglądać następująco:

Port 22

Teraz zmień ten port na dowolny, który chcesz. Musi być większy niż 1024.

Port 4422

Wyłącz logowanie do roota ssh

Ten krok wyłączy logowanie roota przez SSH, jest to całkowicie opcjonalne, ale wysoce zalecane .

Znajdź tę linię:

PermitRootLogin yes

... i zmień na:

PermitRootLogin no

Dzięki temu serwer będzie bardziej bezpieczny przed botami, które próbują brutalnej siły i / lub wspólnych haseł z użytkownikiem rooti portem 22.

Wyłącz X11 do przodu

Ten krok wyłączy przekazywanie X11, nie rób tego, jeśli używasz jakiegoś programu do zdalnego dostępu do twojego serwera.

Znajdź linię X11:

X11Forwarding yes

... i zmienia się na:

X11Forwarding no

Uruchom ponownie demona SSH

Po wprowadzeniu zmian w celu zabezpieczenia logowania SSH uruchom ponownie usługę SSH:

service ssh restart

Spowoduje to ponowne uruchomienie i ponowne załadowanie ustawień serwera.

Testowanie zmian

Bez rozłączania bieżącej sesji ssh otwórz nowy terminal lub okno PuTTY i przetestuj kolejne logowanie SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Jeśli wszystko się sprawdzi, z powodzeniem wzmocniliśmy bezpieczeństwo Twojego serwera. Cieszyć się!