Защита консоли (ssh) — ручная настройка

Настройка сайта, защищающая от взлома консоли

Продолжим защищать наш сервер а именно подключение к нему по ssh (начало тут).

Сейчас сделаем то, с чего следовало бы начать: запретим прямое подключение пользователю root.
Заходим в /etc/ssh/sshd_config находим строку

#PermitRootLogin no

раскомментируем её (убираем символ #) и меняем no на yes

Теперь перезапускаем службу

sudo service sshd restart

Чтож, это мы поторопились… Теперь, как Штирлиц на грани провала, нам следует молиться, чтобы ssh сессия не порвалась ибо тогда мы уже не сможем сами попасть на сервер, так как пользователю root логин по ssh запрещен, а другого мы не создали.
Исправим это досадное недоразумение прямо сейчас:

useradd myusername; passwd myusername

Мы создали пользователя и задали ему взломостойкий! пароль.
(подсказка: для создания взломостойкого пароля можно пользоваться командой date | md5summ )

Дальше нужно добавить нашего пользователя в группу wheel чтобы он мог выполнять команды от имени root-а:

gpasswd -a myusername wheel

Теперь можно спокойно подключаться от имени вновь созданного пользователя. Уф!

Осталось еще одно: смена порта.
Для затруднения взломщикам их и без того нелёгкой жизни (хотя, ежегодно растущие размеры ботнетов намекают нам обратное) поменяем дефолтный порт ssh 22 на другой произвольный, например, 65536.
Для этого вновь заходим в конфиг

vi /etc/ssh/sshd_config

Port 65536

Выходим и перезапускаем демон:

/usr/sbin/sshd restart

По идее в этом месте у вас ничего не получится, потому что умный линукс знает, что 65536 порта не бывает. Исправляете его в конфиге на существующий и перезапускаете сервис.

Теперь для подключения к серверу вам придется указывать порт:

ssh myusername@linuxtuning.ru -p 65536

Продолжение (и автоматизация) данного процесса — тут.

Добавить комментарий