Budući da je korijen korisnik je univerzalan za sve Linux i Unix sustave, a hakeri su uvijek željeli bruteforce žrtve za pristup sustavima. Da bi zlostavljao neprivilegirani račun, haker mora prvo naučiti korisničko ime, čak i ako nasljednik napada ostane ograničen osim ako ne koristi lokalni exploit.Ovaj vodič pokazuje kako u 2 jednostavna koraka onemogućiti root pristup putem SSH-a.

• Kako onemogućiti ssh root pristup na Debian 10 Busteru
• Alternative za osiguravanje vašeg ssh pristupa
• Filtriranje ssh porta pomoću iptables
• Korištenje TCP omota za filtriranje ssh-a
• Onemogućavanje ssh usluge
• Povezani članci

Kako onemogućiti ssh root pristup na Debian 10 Busteru

Da biste onemogućili ssh root pristup, morate urediti ssh konfiguracijsku datoteku, na Debianu je / etc / ssh / sshd_config, za uređivanje pomoću nano uređivača teksta pokrenite:

nano / etc / ssh / sshd_config

Na nano možete pritisnuti CTRL + W (gdje) i tip PermitRoot pronaći sljedeći redak:

#PermitRootLogin zabraniti-lozinku

Da biste onemogućili root pristup putem ssh-a, jednostavno otkomentirajte tu liniju i zamijenite zabraniti-lozinka za Ne kao na sljedećoj slici.

Nakon onemogućavanja root pristupa pritisnite CTRL + X i Y za spremanje i izlazak.

The zabraniti-lozinka opcija sprječava prijavu lozinkom dopuštajući samo prijavu putem zamjenskih radnji poput javnih ključeva, sprečavajući napade grubom silom.

Alternative za osiguravanje vašeg ssh pristupa

Ograničite pristup provjeri autentičnosti javnog ključa:

Da biste onemogućili prijavu lozinkom, dopuštajući samo prijavu pomoću javnog ključa, otvorite / etc / ssh / ssh_config konfiguracijsku datoteku ponovno izvođenjem:

nano / etc / ssh / sshd_config

Da biste onemogućili prijavu lozinkom, dopuštajući samo prijavu pomoću javnog ključa, otvorite / etc / ssh / ssh_config konfiguracijsku datoteku ponovno izvođenjem:

nano / etc / ssh / sshd_config

Pronađite redak koji sadrži PubkeyAuthentication i pobrinite se da piše Da kao u primjeru u nastavku:

Pronalaženjem retka koji sadrži sadrži provjeru autentičnosti lozinke PasswordAuthentication, ako je komentirao, komentirajte ga i provjerite je li postavljen kao Ne kao na sljedećoj slici:

Zatim pritisnite CTRL + X i Y za spremanje i izlazak iz nano uređivača teksta.

Sada kao korisnik kojem želite omogućiti ssh pristup morate generirati parove privatnih i javnih ključeva. Trčanje:

ssh-keygen

Odgovorite na niz pitanja ostavljajući prvi odgovor zadanim pritiskom na ENTER, postavite zaporku, ponovite je i tipke će se pohraniti na ~ /.ssh / id_rsa

Generiranje javnog / privatnog rsa para ključeva.
Unesite datoteku u koju ćete spremiti ključ (/ root /.ssh / id_rsa):
Unesite zaporku (prazno bez zaporke): Ponovno unesite istu lozinku:
Vaša identifikacija je spremljena u / root /.ssh / id_rsa.
Vaš javni ključ spremljen je u / root /.ssh / id_rsa.pub.
Ključni otisak prsta je:
SHA256: 34 + uXVI4d3ik6ryOAtDKT6RaIFclVLyZUdRlJwfbVGo root @ linuxhint
Slika randomart ključa je:
+---[RSA 2048]----+

Za prijenos parova ključeva koje ste upravo stvorili možete koristiti ssh-copy-id naredba sa sljedećom sintaksom:

ssh-copy-id @

Promijenite zadani ssh port:

Otvori / etc / ssh / ssh_config konfiguracijsku datoteku ponovno izvođenjem:

nano / etc / ssh / sshd_config

Recimo da želite koristiti port 7645 umjesto zadanog porta 22. Dodajte redak kao u primjeru u nastavku:

Luka 7645

Zatim pritisnite CTRL + X i Y za spremanje i izlazak.

Ponovo pokrenite ssh uslugu pokretanjem:

ponovno pokretanje usluge sshd

Tada biste trebali konfigurirati iptables da omoguće komunikaciju putem porta 7645:

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 7645

Umjesto toga možete upotrijebiti i UFW (nekomplicirani vatrozid):

ufw dopustiti 7645 / tcp

Filtriranje ssh porta

Također možete definirati pravila za prihvaćanje ili odbijanje ssh veza prema određenim parametrima. Sljedeća sintaksa pokazuje kako prihvatiti ssh veze s određene IP adrese pomoću iptables:

iptables -A ULAZ -p tcp --dport 22 --izvor -j PRIHVATITE
iptables -A ULAZ -p tcp --dport 22 -j PAD

Prvi redak gornjeg primjera upućuje iptables da prihvate dolazne (INPUT) TCP zahtjeve na port 22 s IP 192.168.1.2. Drugi redak nalaže IP tablicama da odbace sve veze na port 22. Izvor također možete filtrirati prema mac adresi kao u primjeru u nastavku:

iptables -I INPUT -p tcp --dport 22 -m mac ! --mac-izvor 02: 42: df: a0: d3: 8f
-j ODBIJATI

Gornji primjer odbija sve veze, osim uređaja s mac adresom 02: 42: df: a0: d3: 8f.

Korištenje TCP omota za filtriranje ssh-a

Drugi način za dodavanje IP adresa na bijeli popis za povezivanje putem ssh-a uz odbijanje ostatka je uređivanje hostova direktorija.negirati i domaćini.dopustiti smješteno u / itd.

Da biste odbili sve hostove, pokrenite:

nano / etc / hosts.poricati

Dodajte zadnji redak:

sshd: SVE

Pritisnite CTRL + X i Y za spremanje i izlazak. Sada da dopustimo određenim hostovima putem ssh uređivanje datoteke / etc / hosts.dopusti, za uređivanje pokreni:

nano / etc / hosts.dopustiti

Dodajte redak koji sadrži:

sshd:

Pritisnite CTRL + X za spremanje i nano nano.

Onemogućavanje ssh usluge

Mnogi domaći korisnici smatraju ssh beskorisnim, ako ga uopće ne upotrebljavate, možete ga ukloniti ili možete blokirati ili filtrirati port.

Na Debian Linuxu ili sustavima temeljenim poput Ubuntua možete ukloniti usluge pomoću upravitelja apt paketa.
Da biste uklonili pokretanje ssh usluge:

ukloniti ssh

Pritisnite Y ako se zatraži da dovršite uklanjanje.

I to je sve o domaćim mjerama za zaštitu ssh-a.

Nadam se da vam je ovaj vodič bio koristan, nastavite pratiti LinuxHint za više savjeta i vodiča o Linuxu i umrežavanju.

Povezani članci:

• Kako omogućiti SSH poslužitelj na Ubuntu 18.04 LTS
• Omogućite SSH na Debianu 10
• Prosljeđivanje SSH priključaka na Linuxu
• Uobičajene opcije konfiguracije SSH Ubuntu
• Kako i zašto promijeniti zadani SSH priključak
• Konfigurirajte prosljeđivanje SSH X11 na Debianu 10
• Arch Linux SSH poslužitelj Postavljanje, prilagodba i optimizacija
• Iptable za početnike
• Rad s Debian vatrozidima (UFW)