Securizarea SSH pe Ubuntu 14.04

• Creați un utilizator nou
• Obținerea de privilegii root utilizatorului
• Securizarea SSH

După crearea unui server nou, există câteva modificări de configurare pe care ar trebui să le faceți pentru a întări securitatea serverului.

Creați un utilizator nou

Ca utilizator rădăcină, aveți privilegii de a face orice doriți cu serverul - fără restricții. Din această cauză, este mai bine să evitați utilizarea contului de utilizator root pentru fiecare sarcină pe serverul dvs. Să începem prin a face un utilizator nou. Înlocuiți usernamecu numele de utilizator dorit:

adduser username

Alegeți o nouă parolă securizată și răspundeți la întrebări în consecință (sau doar apăsați ENTER pentru a utiliza valoarea implicită).

Obținerea de privilegii root utilizatorului

Noile conturi de utilizator nu au privilegii în afara dosarul lor de origine și nu se poate executa comenzi care va modifica serverul (cum ar fi install, updatesau upgrade). Pentru a evita utilizarea contului root, vom oferi utilizatorului privilegii root. Există două moduri de a face acest lucru:

Adăugarea utilizatorului la grupul sudo

Calea ușoară este adăugarea utilizatorului în sudogrup. Înlocuiți usernamecu numele de utilizator dorit:

adduser username sudo

Acest lucru va adăuga utilizatorul la grup sudo. Acest grup are privilegiul de a rula comenzile cu acces sudo.

Modificarea fișierului sudoers

Cealaltă modalitate este să introduceți utilizatorul în sudoersfișier. Dacă serverul dvs. are mai mulți utilizatori cu privilegii root, atunci această abordare este oarecum mai bună, deoarece dacă cineva se încurcă cu sudogrupul, veți putea totuși să executați comenzi cu privilegii root pentru a lucra pe server.

Mai întâi, executați această comandă:

visudo

Aceasta va deschide sudoersfișierul. Acest fișier conține definițiile grupurilor și utilizatorilor care pot rula comenzi cu privilegii root.

root    ALL=(ALL:ALL) ALL

După această linie, scrieți-vă numele de utilizator și acordați-i drepturi de root complete. Înlocuiți în usernameconsecință:

username    ALL=(ALL:ALL) ALL

Salvați și închideți fișierul ( Ctrl + O și Ctrl + X în nano).

Testarea noului dvs. utilizator

Pentru a vă conecta la noul dvs. cont de utilizator fără logoutși login, pur și simplu, sunați:

su username

Testați permisiunile sudo folosind această comandă:

sudo apt-get update

Învelișul vă va cere parola. Dacă sudo a fost configurat corect, atunci depozitele dvs. ar trebui actualizate. În caz contrar, consultați pașii precedenți.

Acum, deconectați-vă de la noul utilizator:

exit

Configurarea Sudo este completă.

Securizarea SSH

Următoarea parte a acestui ghid presupune asigurarea conectării ssh la server. În primul rând, schimbați parola rădăcină:

passwd root

Alege ceva greu de ghicit, dar pe care îl poți aminti.

Cheie SSH

Tastele SSH sunt o modalitate mai sigură de autentificare. Dacă nu vă interesează tastele SSH, treceți la următoarea parte a tutorialului.

Utilizați următorul document Vultr pentru a crea o cheie SSH: Cum pot genera chei SSH?

După ce obțineți cheia publică , conectați-vă din nou cu noul utilizator.

su username

Acum faceți .sshdirectorul și authorized_keysfișierul din directorul principal al contului de utilizator respectiv.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Adăugați cheia publică pe care ați generat-o din celălalt tutorial în authorized_keysfișier.

 nano .ssh/authorized_keys

Salvați fișierul, apoi modificați permisiunile acelui fișier.

chmod 600 .ssh/authorized_keys

Reveniți la utilizatorul root.

exit

Configurație SSH

Acum vom face daemonul SSH mai sigur. Să începem cu fișierul de configurare:

nano /etc/ssh/sshd_config

Schimbă portul de intrare SSH

Acest pas va schimba portul folosit pentru a accesa serverul, este complet opțional, dar recomandat.

Găsiți linia cu Portconfigurația, ar trebui să arate astfel:

Port 22

Acum schimbați acest port în orice port dorit. Trebuie să fie mai mare de 1024.

Port 4422

Dezactivați autentificarea root ssh

Acest pas va dezactiva autentificarea root prin SSH, este complet opțional, dar foarte recomandat .

Găsiți această linie:

PermitRootLogin yes

... și schimbă-l în:

PermitRootLogin no

Acest lucru va face serverul mai sigur împotriva roboților care încearcă forța brută și / sau parolele comune cu utilizatorul rootși portul 22.

Dezactivează X11 înainte

Acest pas va dezactiva redirecționarea X11, nu faceți acest lucru dacă utilizați un program desktop la distanță pentru a accesa serverul dvs.

Găsiți linia X11:

X11Forwarding yes

... și se schimbă în:

X11Forwarding no

Reporniți demonul SSH

Acum că am făcut modificările pentru a securiza conectarea SSH, reporniți serviciul SSH:

service ssh restart

Aceasta va reporni și reîncărca setările serverului.

Testarea modificărilor

Fără a vă deconecta sesiunea dvs. actuală de ssh, deschideți un terminal nou sau o fereastră PuTTY și testați o altă autentificare SSH.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Dacă totul se verifică, am consolidat cu succes securitatea serverului. Bucurați-vă!