Един от най-важните неща, които трябва да направите веднага след свързването на сървъра с Ubuntu до Интернет - е, разбира се, защита срещу неоторизиран достъп до сървъра за управление чрез SSH. Ако не, тогава много бързо, специално написани програми, които сканират мрежа върху широка област, ще откриете, че вашият сървър е отворен порт 22 и че за пълен контрол на системата е достатъчно, за да отгатне паролата за потребителя на корен. Разбира се, абсолютна защита не съществува, но да усложни задачата на един хакер, ние сме доста способни. Историята за методите на SSH защита ще водят, като се вземат предвид възможните функции за посветен сървъри с пълен с Ubuntu, както и за VPS / VDS сървъри.
определено е необходимо Secure достъп чрез SSH. Ако не сте го направили, а след това просто погледнете /var/log/auth.log файл. Наистина има запис на опита за неоторизиран достъп до системата.
Sudo нано / и т.н. / SSH / sshd_config
В едно от първия си ред съдържа директива Port. Замяна на номера на порта 22 на един от най-нестандартните пристанища, като например 4118.
# Какво пристанища, IP адреси и протоколи слушаме за Port 4118
След това рестартирайте SSH-сървъра:
Sudo услуга SSH рестартиране
... и предвидимо губим връзката със сървъра. Ето защо, повторно свързване през SSH, но вече сочи за свързване на новите настройки пристанищни, като например:
SSH -p 4118 [email protected]
Промяна на номера SSH порт ви позволява да се отървете от най-грубите опити сила от автоматични програми. Въпреки това, за по-професионални опити за неоторизиран достъп до вашата система, тази стъпка няма да спаси. Заедно с това трябва да се използват други методи за защита.
Ето защо, чрез създаване на нов тест сметка ще покаже как да създадете нов потребител и му дава право за извършване на командата Sudo. Всъщност, първо да създадете нов потребител. Ние приемаме, че нов потребител е създаден от корен сметка, така че съзнателно да пропусне ключова дума преди Sudo adduser команда:
След това трябва да разберете кой системата е позволено да изпълнява команди като корен, като се използват SUDO ключовата дума. За да направите това, което трябва да разгледа преписката visudo:
В този файл можете да намерите в следните направления:
Линиите над средната, които изпълняват команди от името на супер администратора да корен потребител и потребители, включени в SUDO групата и администратор. Поради това, е достатъчно да се постави новия потребител в една от тези групи. visudo файл, междувременно, трябва да бъдат затворени, без да прави промени в нея. След това добавете SUDO тестовата група потребители:
usermod -а -G Sudo тест
За да сте сигурни, че тестът за потребителя е добавен към групата на Sudo, можете да изпълните следната команда:
След това затворете SSH сесия като потребител корен, влезте със тест за употреба (не забравяйте, че се променя номера на порта в първата стъпка) и деактивирайте корена на сметката:
излезете SSH -р 4118 [email protected] Sudo ако съществува -L корен
клавиши по подразбиране се съхраняват в домашната директория файловете на потребителя
/.ssh/id_rsa (частен ключ) и
SCP-P 4118 [email protected]:
Тази команда ще зареди id_rsa.pub файла на example.org на сървъра на собствената директория на теста за употреба. Също така в тази команда SSH порт Задайте потребителски номер: 4118. След това, вече на отдалечения сървър искате да добавите съдържанието на id_rsa.pub файл във файл
/.ssh/authorized_keys в домашната директория на потребителя, при които искаме да влезете в системата, използвайки контакта, генерирани от ключово значение. След добавяне на authorized_keys източник файл, с публичния ключ може да бъде отстранен.
SSH -p 4118-V [email protected]
# Промяна, за да не да забраните тунелният ясни пароли текстови PasswordAuthentication не
Остава само да рестартирате SSH:
Sudo услуга SSH рестартиране
Първо настройте denyhosts от хранилището:
Sudo правоспособност инсталирате denyhosts
Веднага след инсталиране denyhosts вече е готов да отиде, но аз препоръчвам да се обърне внимание на някои настройки, които са /etc/denyhosts.conf файл.
На първо място, тази директива PURGE_DENY, който определя времето, за който искате да съхраните блокирани IP в списъка с hosts.deny. По подразбиране тази директива съдържа нулева стойност, което означава, че списъкът не е изчистено hosts.deny всякога.
Затова аз препоръчвам да използвате директивата на стойност от няколко часа.
За новите настройки, за да влязат в сила, трябва да рестартирате denyhosts:
SUDO denyhosts услуги рестартират
Свързани статии