Protože vykořenit uživatel je univerzální pro všechny systémy Linux a Unix, vždy byl preferovanou obětí bruteforce hackery pro přístup k systémům. Chcete-li bruteforce neprivilegovaný účet, musí se hacker nejprve naučit uživatelské jméno, ai když uspěje, útočník zůstane omezený, pokud nepoužívá místní exploit.Tento výukový program ukazuje, jak zakázat přístup root pomocí SSH ve 2 jednoduchých krocích.

• Jak zakázat přístup ssh root na Debian 10 Buster
• Alternativy k zabezpečení vašeho přístupu ssh
• Filtrování portu ssh pomocí iptables
• Používání obálek TCP k filtrování ssh
• Zakázání služby ssh
• Související články

Jak zakázat přístup ssh root na Debian 10 Buster

Chcete-li zakázat přístup ssh root, musíte upravit konfigurační soubor ssh, v Debianu to je / etc / ssh / sshd_config, upravit pomocí běhu nano textového editoru:

nano / etc / ssh / sshd_config

Na nano můžete stisknout CTRL + W (kde) a typ Kořen povolení najít následující řádek:

#PermitRootLogin zakázat heslo

Chcete-li zakázat přístup root pomocí ssh, odkomentujte tento řádek a nahraďte jej zakázat heslo pro Ne jako na následujícím obrázku.

Po deaktivaci přístupu root stiskněte CTRL + X a Y uložit a ukončit.

The zakázat heslo možnost brání přihlašování pomocí hesla a umožňuje pouze přihlášení prostřednictvím záložních akcí, jako jsou veřejné klíče, což brání útokům hrubou silou.

Alternativy k zabezpečení vašeho přístupu ssh

Omezit přístup k ověřování pomocí veřejného klíče:

Chcete-li zakázat přihlášení pomocí hesla umožňující pouze přihlášení pomocí veřejného klíče, otevřete / etc / ssh / ssh_config konfigurační soubor znovu spuštěním:

nano / etc / ssh / sshd_config

Chcete-li zakázat přihlášení pomocí hesla umožňující pouze přihlášení pomocí veřejného klíče, otevřete / etc / ssh / ssh_config konfigurační soubor znovu spuštěním:

nano / etc / ssh / sshd_config

Najděte řádek obsahující PubkeyAuthentication a ujistěte se, že to říká Ano jako v příkladu níže:

Vyhledáním řádku obsahujícího ověřte, zda je ověřování hesla deaktivováno Ověřování hesla, pokud je komentář, odkomentujte jej a ujistěte se, že je nastaven jako Ne jako na následujícím obrázku:

Poté stiskněte CTRL + X a Y uložit a ukončit nano textový editor.

Nyní jako uživatel, kterému chcete povolit přístup ssh, musíte vygenerovat páry soukromých a veřejných klíčů. Běh:

ssh-keygen

Odpovězte na posloupnost otázek, přičemž první odpověď ponechte výchozí stisknutím klávesy ENTER, nastavte přístupovou frázi, opakujte ji a klíče se uloží na ~ /.ssh / id_rsa

Generování veřejného / soukromého páru klíčů rsa.
Zadejte soubor, do kterého chcete klíč uložit (/ root /.ssh / id_rsa):
Zadejte přístupovou frázi (prázdná bez přístupové fráze): Zadejte znovu stejnou přístupovou frázi:
Vaše identifikace byla uložena v / root /.ssh / id_rsa.
Váš veřejný klíč byl uložen v / root /.ssh / id_rsa.hospoda.
Klíčový otisk prstu je:
SHA256: 34 + uXVI4d3ik6ryOAtDKT6RaIFclVLyZUdRlJwfbVGo root @ linuxhint
Náhodný obrázek klíče je:
+---[RSA 2048]----+

K přenosu párů klíčů, které jste právě vytvořili, můžete použít ssh-copy-id příkaz s následující syntaxí:

ssh-copy-id @

Změňte výchozí port ssh:

Otevři / etc / ssh / ssh_config konfigurační soubor znovu spuštěním:

nano / etc / ssh / sshd_config

Řekněme, že chcete použít port 7645 místo výchozího portu 22. Přidejte řádek jako v příkladu níže:

Port 7645

Poté stiskněte CTRL + X a Y uložit a ukončit.

Restartujte službu ssh spuštěním:

restartování služby sshd

Pak byste měli nakonfigurovat iptables tak, aby umožňovaly komunikaci přes port 7645:

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 7645

Místo toho můžete také použít UFW (nekomplikovaný firewall):

ufw povolit 7645 / tcp

Filtrování portu ssh

Můžete také definovat pravidla pro přijetí nebo odmítnutí připojení ssh podle konkrétních parametrů. Následující syntaxe ukazuje, jak přijímat ssh připojení z konkrétní IP adresy pomocí iptables:

iptables -A VSTUP -p tcp --dport 22 --zdroj -j PŘIJMOUT
iptables -A VSTUP -p tcp --dport 22 -j DROP

První řádek výše uvedeného příkladu instruuje iptables, aby přijímaly příchozí (INPUT) TCP požadavky na port 22 z IP 192.168.1.2. Druhý řádek dává pokyn tabulkám IP, aby zrušila všechna připojení k portu 22. Zdroj můžete také filtrovat podle adresy mac, jako v příkladu níže:

iptables -I VSTUP -p tcp --dport 22 -m mac ! --zdroj mac 02: 42: df: a0: d3: 8f
-j ODMÍTNOUT

Výše uvedený příklad odmítá všechna připojení kromě zařízení s mac adresou 02: 42: df: a0: d3: 8f.

Používání obálek TCP k filtrování ssh

Dalším způsobem, jak přidat IP adresy na seznam povolených pro připojení přes ssh, zatímco ostatní odmítnete, je úprava hostitelů adresářů.popřít a hostitelé.povolit umístění v / atd.

Chcete-li odmítnout spuštění všech hostitelů:

nano / etc / hosts.odmítnout

Přidat poslední řádek:

sshd: VŠECHNY

Stisknutím kláves CTRL + X a Y uložte a ukončete. Nyní povolte konkrétní hostitele pomocí ssh upravte soubor / etc / hosts.povolit, upravit jej spustit:

nano / etc / hosts.dovolit

Přidejte řádek obsahující:

sshd:

Stisknutím kombinace kláves CTRL + X uložte a ukončete nano.

Zakázání služby ssh

Mnoho domácích uživatelů považuje ssh za zbytečné, pokud jej vůbec nepoužíváte, můžete jej odebrat nebo můžete port zablokovat nebo filtrovat.

V Debianu Linux nebo v systémech jako Ubuntu můžete služby odebrat pomocí správce balíků apt.
Odebrání běhu služby ssh:

apt remove ssh

Chcete-li odstranění dokončit, stiskněte Y.

A to je vše o domácích opatřeních k zajištění bezpečnosti ssh.

Doufám, že vám tento návod připadal užitečný, sledujte LinuxHint a získejte další tipy a návody k Linuxu a síťovým sítím.

Související články:

• Jak povolit server SSH na Ubuntu 18.04 LTS
• Povolte SSH v Debianu 10
• Přesměrování portů SSH v systému Linux
• Společné možnosti konfigurace SSH Ubuntu
• Jak a proč změnit výchozí port SSH
• Nakonfigurujte přeposílání SSH X11 v Debianu 10
• Arch Linux SSH Server Nastavení, přizpůsobení a optimalizace
• Iptables pro začátečníky
• Práce s Debian Firewally (UFW)