ССХ је широко распрострањен протокол који се користи за сигуран приступ Линук серверима. Већина корисника користи ССХ везе са подразумеваним подешавањима за повезивање са удаљеним сервером. Међутим, необезбеђене подразумеване конфигурације такође представљају различите безбедносне ризике.

Роот налог сервера са отвореним ССХ приступом може бити угрожен. А посебно ако користите јавну ИП адресу, много је лакше хаковати роот лозинку. Стога је неопходно имати знање о ССХ безбедности.

Ево како можете да обезбедите своје ССХ серверске везе на Линук-у.

1. Онемогућите пријаве роот корисника

За ово прво онемогућите ССХ приступ роот корисника и креирајте новог корисника са роот привилегијама. Искључивање приступа серверу за роот корисника је одбрамбена стратегија која спречава нападаче да остваре свој циљ упада у систем. На пример, можете креирати корисника под именом екамплероот као што следи:

усерадд -м корен примера
пассвд екамплероот
усермод -аГ судо екамплероот

Ево кратког објашњења горе поменутих команди:

instagram viewer
  • усерадд креира новог корисника и параметар креира фасциклу испод кућа директоријум за корисника којег сте креирали.
  • Тхе пассвд команда је за додељивање лозинке новом кориснику. Запамтите да лозинке које додељујете корисницима треба да буду сложене и тешке за погодити.
  • усермод -аГ судо додаје новокреираног корисника у администраторску групу.

Након процеса креирања корисника, потребно је извршити неке измене у ссхд_цонфиг фајл. Ову датотеку можете пронаћи на /etc/ssh/sshd_config. Отворите датотеку било којим уређивачем текста и извршите следеће измене:

# Аутентикација: 
#ЛогинГрацеТиме 2м 
ПермитРоотЛогин бр 
АлловУсерс екамплероот

ПермитРоотЛогин ће спречити роот корисника да добије даљински приступ користећи ССХ. Укључујући екамплероот у АлловУсерс листа даје потребне дозволе кориснику.

Коначно, поново покрените ССХ услугу користећи следећу команду:

судо системцтл рестарт ссх

Ако то не успе и добијете поруку о грешци, покушајте са командом испод. Ово се може разликовати у зависности од Линук дистрибуције коју користите.

судо системцтл рестарт ссхд

2. Промена подразумеваног порта

Подразумевани порт за ССХ везу је 22. Наравно, сви нападачи то знају и стога је неопходно променити подразумевани број порта да би се обезбедила ССХ безбедност. Иако нападач лако може пронаћи ново број порта са Нмап скенирањем, овде је циљ отежати посао нападачу.

Да бисте променили број порта, отворите /etc/ssh/sshd_config и направите следеће промене у датотеци:

Укључи /etc/ssh/sshd_config.d/*.conf
Лука 5922

Након овог корака, поново покрените ССХ услугу са судо системцтл рестарт ссх. Сада можете да приступите свом серверу користећи порт који сте управо дефинисали. Ако користите заштитни зид, морате и тамо да извршите неопходне промене правила. Приликом покретања нетстат -тлпн команду, можете видети да се ваш број порта за ССХ променио.

3. Блокирајте приступ за кориснике са празним лозинкама

Можда на вашем систему постоје корисници без лозинке које сте можда случајно креирали. Да бисте спречили такве кориснике да приступе серверима, можете подесити ПермитЕмптиПассвордс вредност линије у ссхд_цонфиг фајл у не.

ПермитЕмптиПассвордс бр

4. Ограничите покушаје пријављивања/приступа

Подразумевано, серверу можете приступити тако што ћете покушати да унесете лозинку колико год желите. Међутим, нападачи могу да искористе ову рањивост за грубу силу на серверу. Можете аутоматски прекинути ССХ везу након одређеног броја покушаја навођењем броја дозвољених покушаја лозинке.

За ово промените МакАутхТриес вредност у ссхд_цонфиг фајл.

МакАутхТриес 3

5. Коришћење ССХ верзије 2

Друга верзија ССХ-а је објављена због многих рањивости у првој верзији. Подразумевано, можете омогућити серверу да користи другу верзију додавањем Протокол параметар за ваш ссхд_цонфиг фајл. На овај начин, све ваше будуће везе ће користити другу верзију ССХ-а.

Укључи /etc/ssh/sshd_config.d/*.conf 
Протокол 2

6. Искључивање прослеђивања ТЦП порта и прослеђивања Кс11

Нападачи могу покушати да добију приступ вашим другим системима прослеђивањем портова преко ССХ веза. Да бисте то спречили, можете искључити АлловТцпФорвардинг и Кс11Форвардинг карактеристике у ссхд_цонфиг фајл.

Кс11 Прослеђивање бр 
АлловТцпФорвардинг бр

7. Повезивање помоћу ССХ кључа

Један од најбезбеднијих начина за повезивање са сервером је коришћење ССХ кључа. Када користите ССХ кључ, можете приступити серверу без лозинке. Поред тога, можете потпуно искључити приступ лозинки серверу променом параметара који се односе на лозинку у ссхд_цонфиг фајл.

Када креирате ССХ кључ, постоје два кључа: Јавно и Приватни. Јавни кључ се учитава на сервер на који желите да се повежете, а приватни кључ се чува на рачунару помоћу којег ћете успоставити везу.

Креирајте ССХ кључ са ссх-кеиген команду на вашем рачунару. Не остављајте Пасспхрасе празно поље и запамтите лозинку коју сте овде унели. Ако га оставите празним, моћи ћете да му приступите само са ССХ кључном датотеком. Међутим, ако поставите лозинку, можете спречити нападача са кључном датотеком да јој приступи. Као пример, можете креирати ССХ кључ са следећом командом:

ссх-кеиген

8. ИП ограничења за ССХ везе

Већину времена заштитни зид блокира приступ користећи оквире сопствених стандарда и има за циљ да заштити сервер. Међутим, то није увек довољно и потребно је повећати овај безбедносни потенцијал.

Да бисте то урадили, отворите /etc/hosts.allow фајл. Уз додатке које направите овој датотеци, можете ограничити ССХ дозволу, дозволити одређени ИП блок или унети једну ИП адресу и блокирати све преостале ИП адресе командом дени.

Испод ћете видети неке примере подешавања. Након што ово урадите, поново покрените ССХ услугу као и обично да бисте сачували промене.

Важност безбедности Линук сервера

Питања безбедности података и података су прилично детаљна и сви администратори сервера треба да их размотре. Безбедност сервера је веома осетљиво питање јер су главни фокус напада веб сервери и они садрже скоро све информације о систему. Пошто већина сервера ради на Линук инфраструктури, веома је важно бити упознат са Линук системом и администрацијом сервера.

ССХ безбедност је само један од начина заштите сервера. Могуће је минимизирати штету коју нанесете заустављањем, блокирањем или успоравањем напада. Осим пружања ССХ безбедности, постоји много различитих метода које можете применити да бисте заштитили своје Линук сервере.