Phenquestions
Различные способы защиты SSH-сервера
Все настройки конфигурации SSH сервер можно сделать, изменив ssh_config файл. Этот файл конфигурации можно прочитать, набрав следующую команду в Терминале.
[электронная почта защищена]: ~ $ cat / etc / ssh / ssh_configПРИМЕЧАНИЕ: перед редактированием этого файла у вас должны быть права root.
Теперь мы обсудим различные способы защиты SSH сервер. Ниже приведены некоторые методы, которые мы можем применить, чтобы сделать наши SSH сервер более безопасный
- Изменяя значение по умолчанию SSH Порт
- Использование надежного пароля
- Использование открытого ключа
- Разрешение входа с одного IP-адреса
- Отключение пустого пароля
- Использование протокола 2 для SSH Сервер
- Отключив пересылку X11
- Установка тайм-аута простоя
- Установка ограниченного количества попыток пароля
Теперь обсудим все эти методы по порядку.
Путем изменения порта SSH по умолчанию
Как описано ранее, по умолчанию SSH использует порт 22 для связи. Хакерам намного проще взломать ваши данные, если они знают, какой порт используется для связи. Вы можете защитить свой сервер, изменив значение по умолчанию SSH порт. Чтобы изменить SSH порт, открытый sshd_config файл с помощью редактора nano, выполнив следующую команду в Терминале.
[электронная почта защищена]: ~ $ nano / etc / ssh / ssh_configНайдите строку, в которой номер порта упоминается в этом файле, и удалите # подписать перед «Порт 22» и измените номер порта на желаемый порт и сохраните файл.
Использование надежного пароля
Большинство серверов взломаны из-за слабого пароля. Слабый пароль с большей вероятностью будет легко взломан хакерами. Надежный пароль может сделать ваш сервер более безопасным. Ниже приведены советы по созданию надежного пароля
- Используйте комбинацию прописных и строчных букв
- Используйте цифры в своем пароле
- Используйте длинный пароль
- Используйте в пароле специальные символы
- Никогда не используйте свое имя или дату рождения в качестве пароля
Использование открытого ключа для защиты SSH-сервера
Мы можем войти в нашу SSH сервер двумя способами. Один использует пароль, а другой - открытый ключ. Использование открытого ключа для входа в систему намного безопаснее, чем использование пароля для входа в систему SSH сервер.
Ключ можно сгенерировать, выполнив следующую команду в Терминале
[электронная почта защищена]: ~ $ ssh-keygenКогда вы запустите указанную выше команду, она попросит вас ввести путь для вашего личного и открытого ключей. Закрытый ключ будет сохранен «Id_rsa» имя и открытый ключ будут сохранены «Id_rsa.паб" название. По умолчанию ключ будет сохранен в следующем каталоге
/ главная / имя пользователя /.ssh /
После создания открытого ключа используйте этот ключ для настройки SSH войти с ключом. Убедившись, что ключ работает, войдите в свой SSH сервер, теперь отключите вход по паролю. Это можно сделать, отредактировав наш ssh_config файл. Откройте файл в желаемом редакторе. Теперь удалите # перед «PasswordAuthentication да» и замените его на
Пароль Аутентификация нет
Теперь твой SSH доступ к серверу возможен только по публичному ключу, доступ по паролю отключен
Разрешение входа с одного IP-адреса
По умолчанию вы можете SSH на ваш сервер с любого IP-адреса. Сервер можно сделать более безопасным, разрешив одному IP-адресу доступ к вашему серверу. Это можно сделать, добавив следующую строку в свой ssh_config файл.
ListenAddress 192.168.0.0Это заблокирует все IP-адреса для входа в ваш SSH сервер, отличный от Введенного IP (i.е. 192.168.0.0).
ПРИМЕЧАНИЕ. Введите IP-адрес вашего компьютера вместо «192.168.0.0 ”.
Отключение пустого пароля
Никогда не разрешать вход в систему SSH Сервер с пустым паролем. Если разрешен пустой пароль, то ваш сервер с большей вероятностью будет атакован злоумышленниками методом грубой силы. Чтобы отключить вход с пустым паролем, откройте ssh_config файл и внесите следующие изменения
PermitEmptyPasswords нет
Использование протокола 2 для SSH-сервера
Предыдущий протокол, использованный для SSH это SSH 1. По умолчанию протокол установлен на SSH 2, но если он не установлен на SSH 2, вы должны изменить его на SSH 2. Протокол SSH 1 имеет некоторые проблемы, связанные с безопасностью, и эти проблемы были исправлены в протоколе SSH 2. Чтобы изменить это, отредактируйте ssh_config файл, как показано ниже
Протокол 2
Отключив пересылку X11
Функция пересылки X11 предоставляет графический пользовательский интерфейс (GUI) вашего SSH сервер удаленному пользователю. Если X11 Forwarding не отключен, то любой хакер, взломавший ваш сеанс SSH, может легко найти все данные на вашем сервере. Этого можно избежать, отключив перенаправление X11. Это можно сделать, изменив ssh_config файл, как показано ниже
X11 Нет пересылки
Установка тайм-аута простоя
Тайм-аут простоя означает, что вы не выполняете никаких действий в своем SSH сервер на определенный промежуток времени, вы автоматически выходите из системы
Мы можем усилить меры безопасности для наших SSH сервер, установив тайм-аут простоя. Например, вы SSH ваш сервер, и через некоторое время вы будете заняты некоторыми другими задачами и забываете выйти из сеанса. Это очень высокий риск для безопасности вашего SSH сервер. Эту проблему безопасности можно решить, установив тайм-аут простоя. Тайм-аут простоя можно установить, изменив наш ssh_config файл, как показано ниже
ClientAliveInterval 600Если установить тайм-аут простоя равным 600, SSH-соединение будет разорвано через 600 секунд (10 минут) отсутствия активности.
Установка ограниченного количества попыток пароля
Мы также можем сделать наши SSH безопасность сервера путем установки определенного количества попыток ввода пароля. Это полезно против злоумышленников. Мы можем установить ограничение на количество попыток ввода пароля, изменив ssh_config файл.
MaxAuthTries 3
Перезапуск службы SSH
Многие из вышеперечисленных методов необходимо перезапустить SSH сервис после их применения. Мы можем перезапустить SSH service, введя следующую команду в Терминале
[электронная почта защищена]: перезапуск ~ $ service sshЗаключение
После применения вышеуказанных изменений к вашему SSH сервер, теперь ваш сервер намного безопаснее, чем раньше, и злоумышленнику нелегко взломать ваш SSH сервер.
