Na většině systémů Linux/Unix můžete najít několik způsobů, jak vzdáleně přistupovat k shellu (příkazový řádek). Jedním ze starších způsobů je použití programu telnet. Přístup k shellu přes telnet představuje bezpečnostní hrozby, protože zprávy přecházející mezi klientem a serverem jsou v prostém textu! Takže každý, kdo může „čichat“ spojení mezi tím, uvidí vaše uživatelské jméno, heslo a mnoho dalšího. Z těchto důvodů potřebujete pro připojení ke vzdálenému hostiteli sofistikovanější program než telnet.
SSH, což je zkratka pro Secure SHell, bylo navrženo a vytvořeno tak, aby poskytovalo nejlepší zabezpečení při vzdáleném přístupu k jinému počítači. Nejen, že šifruje relaci, ale také poskytuje lepší autentizační zařízení a také funkce, jako je zabezpečený přenos souborů, předávání X relací, přesměrování portů a další, takže můžete zvýšit zabezpečení jiných protokolů. Povolení vzdáleného přihlášení přes SSH je dobré pro administrativní účely, ale může představovat hrozbu pro bezpečnost vašeho serveru. Přístup SSH, který je často cílem útoků hrubou silou, musí být řádně omezen, aby se zabránilo třetím stranám získat přístup k vašemu serveru. V tomto článku se podíváme, jak zabezpečit SSH.
V adresáři /etc/ssh/ jsou dva konfigurační soubory „ssh_config“ a „sshd_config“. Soubor ssh_config obsahuje konfiguraci týkající se odchozích připojení SSH. kde jako soubor sshd_config obsahuje konfigurační parametry, které řídí příchozí SSH připojení k samotnému serveru. ~/.ssh/ je uživatelský konfigurační adresář SSH.
1. Jak nastavit silná uživatelská jména/hesla
SSH server spuštěný a vystavený vnějšímu světu by byl hlavním cílem útoků hrubou silou! Hacker obvykle vyhledá port 22, aby našel počítače se spuštěným ssh, a poté se proti němu pokusí zaútočit hrubou silou. Se silnými hesly můžete zakázat hackery dříve, než uspějí. Doufejme, že již používáte silná hesla, ale pokud ne, zkuste zvolit hesla, která obsahují:
- Minimálně 8 znaků
- Kombinace velkých a malých písmen
- Kombinace písmen a číslic
- Nealfanumerické znaky (např. speciální znaky jako ! ” £ $ % ^ atd.)
Pokud vaši uživatelé stále volí slabá hesla, vytvořte uživatelská jména, která by hackeři těžko uhádli! To ztěžuje hackerům hádat uživatelská jména, bez kterých si nemohou heslo vynutit hrubou silou (Ujistěte se, že uživatelé neunikají uživatelská jména). Vyhněte se běžným uživatelským jménům, jako je admin, henry, bob atd.
2. Jak zakázat vzdálené přihlášení s prázdnými hesly
Tuto funkci musíte výslovně sdělit serveru SSH, aby zakázal vzdálené přihlášení pro účty s prázdnými hesly. Pomocí svého oblíbeného editoru otevřete /etc/ssh/sshd_config soubor a vyhledejte níže uvedené řádky:
#PermitEmptyPasswords no
Odstraňte symbol # a změňte ne na ano .
PermitEmptyPasswords yes
Po úpravě nezapomeňte restartovat sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
3. Jak zakázat vzdálené přihlášení pro uživatele root na počítači se systémem Linux
Můžete si prohlédnout náš předchozí článek – Jak zakázat vzdálené přihlášení pro uživatele root na počítači se systémem Linux
4. Jak povolit pouze konkrétním uživatelům přihlášení přes SSH
Můžete se podívat na náš předchozí článek – jak povolit nebo zakázat konkrétním uživatelským účtům vzdálené přihlášení k serveru Linux.
5. Jak změnit výchozí port pro naslouchání SSH
Ve výchozím nastavení SSH server naslouchá připojení na portu 22. Útočníci používají software pro skenování portů, jako je nmap, k vyhledání otevřeného portu. Doporučuje se změnit port SSH na číslo vyšší než 1024, protože většina skenerů portů neskenuje vyšší porty.
Pomocí svého oblíbeného editoru otevřete soubor /etc/ssh/sshd_config a vyhledejte řádek, který říká:
Port 22
Změňte číslo portu, například:
Port 2222
po úpravě nezapomeňte restartovat sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
Jakmile se změní číslo portu serveru SSH, můžete se vzdáleně přihlásit zadáním čísla portu, jak je uvedeno níže:
ssh -p 2222 useranme@servername
6. Povolit pouze protokol SSH 2
Server SSH podporuje dva protokoly, tj. 1 a 2. Starší protokol 1 podléhá bezpečnostním problémům, včetně man-in-the-middle a chyb zabezpečení. Protokol SSH 2 je zabezpečenější ve srovnání s protokolem 1. Server SSH na nejnovějším OS je dodáván s povoleným protokolem 2. V případě, že odkazuje na více protokolů, jak je uvedeno níže, změňte nastavení na povolení pouze protokolu 2, jak je uvedeno níže:
Pomocí svého oblíbeného editoru otevřete soubor /etc/ssh/sshd_config a vyhledejte řádek, který říká:
Protocol 2,1
Změňte řádek tak, aby obsahoval pouze protokol 2!
Protocol 2
Po úpravě nezapomeňte restartovat sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
7. Jak omezit vzdálené přihlášení pouze na konkrétní uživatele z konkrétní IP adresy?
Pokud jste si jisti, že váš SSH server bude používán uživateli z velmi specifických hostitelů Například:SSH server, ke kterému přistupují pouze uživatelé z LAN organizace, pak je lepší umožnit uživatelům přihlášení z konkrétního hostitele. Chcete-li to provést, postupujte podle níže uvedeného postupu:
Pomocí svého oblíbeného editoru otevřete soubor /etc/ssh/sshd_config a přidejte následující řádek:
AllowUsers [email protected]
Můžete také zablokovat řadu IP adres, jak je uvedeno níže:
AllowUsers [email protected].*
AllowUsers [email protected].*.*
Po úpravě nezapomeňte restartovat sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
8. Jak zastavit automatizované útoky SSH založené na robotech?
Můžete se podívat na náš předchozí článek – Jak zastavit automatizované útoky SSH založené na botech?
9. Jak hashovat známé soubory hostitelů
Podívejte se na náš předchozí článek: Jak hashovat soubory známých hostitelů z adresáře ~/.ssh/
10. Jak nakonfigurovat Idle Log Out Timeout Interval pro SSH
Uživatelé se často přihlašují na dálku a zapomínají se odhlásit! Nečinná relace může vést k bezpečnostnímu riziku. Správci musí nastavit časový limit nečinnosti, aby se mohli odhlásit z těchto nečinných relací. Chcete-li nastavit interval časového limitu pro nečinné odhlášení, postupujte podle následujících pokynů:
Pomocí svého oblíbeného editoru otevřete /etc/ssh/sshd_config soubor a vyhledejte níže uvedené řádky:
#ClientAliveInterval 0
Odstraňte symbol # a změňte ClientAliveInterval na 300 (Interval časového limitu je v sekundách, tj. 300 sekund =15 minut). Po uplynutí tohoto intervalu bude nečinný uživatel automaticky odhlášen.
ClientAliveInterval 300
Po úpravě nezapomeňte restartovat sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
11. Jak nakonfigurovat Analyzátor protokolů pro SSH
Protokolování aktivity uživatele vždy poskytne správci dodatečné informace o aktivitě uživatelů na serveru. Kromě nástrojů, jako je LogWatch, vám může zjednodušit život čtením všech protokolů za dané časové období a vytvořením zprávy v uživatelsky přívětivém čitelném formátu.
Pomocí svého oblíbeného editoru otevřete /etc/ssh/sshd_config soubor a vyhledejte níže uvedené řádky:
#LogLevel INFO
Odstraňte symbol # a restartujte službu sshd, jak je znázorněno níže:
Caution: Follow tip #12 to ensure sshd_config file is error free
/etc/init.d/sshd restart
12. Před restartováním démona ‚sshd‘ ověřte konfiguraci SSH
Při provádění změn v sshd_config , ujistěte se, že jste nezanechali žádné chyby. Spusťte níže uvedený příkaz a zkontrolujte, zda sshd_config obsahuje před restartováním SSH nějaké chyby server.
# /usr/sbin/sshd -t
nyní restartujte službu, jak je uvedeno níže:
# /etc/init.d/sshd restart
(nebo)
# service sshd restart