SSH on laialdaselt kasutatav protokoll, mida kasutatakse Linuxi serveritele turvaliseks juurdepääsuks. Enamik kasutajaid kasutab kaugserveriga ühenduse loomiseks vaikeseadetega SSH-ühendusi. Kuid turvamata vaikekonfiguratsioonid kujutavad endast ka erinevaid turvariske.
Avatud SSH-juurdepääsuga serveri juurkonto võib olla ohus. Ja eriti kui kasutate avalikku IP-aadressi, on juurparooli häkkimine palju lihtsam. Seetõttu on vaja omada teadmisi SSH turvalisusest.
Siit saate teada, kuidas saate oma SSH-serveri ühendusi Linuxis kaitsta.
1. Keela juurkasutajate sisselogimised
Selleks keelake esmalt juurkasutaja SSH-juurdepääs ja luua uus kasutaja juurõigustega. Juurkasutaja serveri juurdepääsu väljalülitamine on kaitsestrateegia, mis takistab ründajatel saavutada oma eesmärki süsteemi tungida. Näiteks saate luua kasutaja nimega näidejuur järgnevalt:
useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot
Siin on ülalnimetatud käskude lühike selgitus:
- kasutaja lisamine loob uue kasutaja ja -m parameeter loob kausta alla Kodu loodud kasutaja kataloog.
- The passwd käsk on uuele kasutajale parooli määramiseks. Pidage meeles, et kasutajatele määratud paroolid peaksid olema keerulised ja neid on raske ära arvata.
- usermod -aG sudo lisab vastloodud kasutaja administraatorigruppi.
Pärast kasutaja loomise protsessi on vaja teha mõned muudatused sshd_config faili. Selle faili leiate aadressilt /etc/ssh/sshd_config. Avage fail mis tahes tekstiredaktoriga ja tehke selles järgmised muudatused:
# Autentimine:
#LoginGraceTime 2 min
PermitRootLogin nr
AllowUsers näidejuur
PermitRootLogin rida takistab juurkasutajal SSH-ga kaugjuurdepääsu saamist. Kaasa arvatud näidejuur aastal Lubakasutajad nimekiri annab kasutajale vajalikud õigused.
Lõpuks taaskäivitage SSH-teenus järgmise käsuga:
sudo systemctl taaskäivitage ssh
Kui see ebaõnnestub ja kuvatakse tõrketeade, proovige allolevat käsku. See võib teie kasutatavast Linuxi distributsioonist olenevalt erineda.
sudo systemctl taaskäivitage sshd2. Vaikimisi pordi muutmine
Vaikimisi SSH-ühendusport on 22. Loomulikult teavad seda kõik ründajad ja seetõttu tuleb SSH turvalisuse tagamiseks muuta vaikepordi numbrit. Kuigi ründaja leiab uue hõlpsalt üles pordi number koos Nmap skannimisega, siin on eesmärk ründaja tööd raskemaks teha.
Pordinumbri muutmiseks avage /etc/ssh/sshd_config ja tehke failis järgmised muudatused:
Kaasa /etc/ssh/sshd_config.d/*.conf
Port 5922
Pärast seda sammu taaskäivitage SSH-teenus rakendusega sudo systemctl taaskäivitage ssh. Nüüd pääsete oma serverile juurde, kasutades just määratletud porti. Kui kasutate tulemüüri, peate ka seal tegema vajalikud reeglimuudatused. Jooksmisel netstat -tlpn käsku, näete, et teie SSH pordi number on muutunud.
3. Blokeeri juurdepääs tühjade paroolidega kasutajatele
Teie süsteemis võib olla kasutajaid, kellel pole kogemata paroole. Et takistada sellistel kasutajatel serveritele juurdepääsu, saate määrata PermitEmptyPasswords rea väärtus sshd_config faili ei.
LubaTühjadParoolid nr4. Sisselogimis-/juurdepääsukatsete piiramine
Vaikimisi pääsete serverile juurde, proovides nii palju parooli kui soovite. Ründajad saavad seda haavatavust kasutada serveri jõhkraks sundimiseks. Saate automaatselt lõpetada SSH-ühendust pärast teatud arvu katseid, määrates lubatud paroolikatsete arvu.
Selleks muutke MaxAuthTries väärtus sshd_config faili.
MaxAuthTries 35. SSH versiooni 2 kasutamine
SSH teine versioon anti välja, kuna esimeses versioonis oli palju turvaauke. Vaikimisi saate lubada serveril kasutada teist versiooni, lisades Protokoll parameeter teie jaoks sshd_config faili. Nii kasutavad kõik teie tulevased ühendused SSH teist versiooni.
Kaasa /etc/ssh/sshd_config.d/*.conf
Protokoll 2
6. TCP-pordi edastamise ja X11 edastamise väljalülitamine
Ründajad võivad proovida saada juurdepääsu teie teistele süsteemidele SSH-ühenduste kaudu pordi edastamise teel. Selle vältimiseks võite seadme välja lülitada AllowTcpForwarding ja X11Edastamine funktsioonid sshd_config faili.
X11Edastamise nr
AllowTcpForwarding nr7. Ühenduse loomine SSH-võtmega
Üks turvalisemaid viise serveriga ühenduse loomiseks on kasutada SSH-võtit. Kui kasutate SSH-võtit, pääsete serverile juurde ilma paroolita. Lisaks saate parooliga juurdepääsu serverile täielikult välja lülitada, muutes parooliga seotud parameetreid sshd_config faili.
SSH-võtme loomisel on kaks võtit: Avalik ja Privaatne. Avalik võti laaditakse üles serverisse, millega soovite ühenduse luua, ja privaatvõti salvestatakse arvutisse, mille abil te ühenduse loote.
Looge SSH-võti nupuga ssh-keygen käsk arvutis. Ärge jätke Parool väli tühjaks ja jäta siia sisestatud parool meelde. Kui jätate selle tühjaks, pääsete sellele juurde ainult SSH-võtmefaili abil. Kui aga määrate parooli, saate takistada võtmefaili omava ründaja juurdepääsu sellele. Näiteks saate luua SSH-võtme järgmise käsuga:
ssh-keygen8. IP-piirangud SSH-ühendustele
Enamasti blokeerib tulemüür juurdepääsu oma standardite raamistike abil ja selle eesmärk on kaitsta serverit. Sellest aga alati ei piisa ja seda turvapotentsiaali tuleb suurendada.
Selleks avage /etc/hosts.allow faili. Sellele failile tehtud täiendustega saate piirata SSH-luba, lubada konkreetse IP-blokeeringu või sisestada ühe IP-aadressi ja blokeerida kõik ülejäänud IP-aadressid käsuga deny.
Allpool näete mõningaid näidisseadeid. Pärast nende tegemist taaskäivitage muudatuste salvestamiseks SSH-teenus nagu tavaliselt.
Linuxi serveri turvalisuse tähtsus
Andmete ja andmeturbe küsimused on üsna üksikasjalikud ja sellega peaksid arvestama kõik serveriadministraatorid. Serverite turvalisus on väga tundlik teema, kuna rünnete põhirõhk on veebiserveritel ja need sisaldavad peaaegu kogu teavet süsteemi kohta. Kuna enamik servereid töötab Linuxi infrastruktuuril, on väga oluline olla kursis Linuxi süsteemi ja serveri haldusega.
SSH-turvalisus on vaid üks võimalustest serverite kaitsmiseks. Rünnakut peatades, blokeerides või aeglustades on võimalik tekitatud kahju minimeerida. Lisaks SSH-turbe pakkumisele on Linuxi serverite kaitsmiseks palju erinevaid meetodeid.
