Az alapvető biztonságos SSH szerver elérés biztosítása érdekében néhány kulcsfontosságú intézkedést javasolt végrehajtani.
Alapvető SSH biztonság
- Az SSH alapértelmezett portjának módosítása: Ez segíthet csökkenteni az automatikus támadások számát, mivel a támadók gyakran olyan rendszereket vesznek célba, amelyek az SSH-t az alapértelmezett 22-es porton futtatják.
- Tiltsa le az SSH root hozzáférést: Ez segíthet csökkenteni a rendszerhez való jogosulatlan hozzáférés kockázatát, mivel a támadók gyakran a root fiókot veszik célba. Ehelyett hozzon létre egy külön felhasználót sudo jogosultságokkal.
- Használjon erős SSH-kulcs alapú hitelesítést: Használjon erős jelszót, és fontolja meg a nyilvános kulcs alapú hitelesítés használatát az egyszerű jelszavas hitelesítés helyett. Ez egy plusz biztonsági réteget jelent, mivel a támadónak a hozzáféréshez birtokolnia kell a privát kulcsot, amelyet sokkal nehezebb megszerezni, mint egy egyszerű jelszót.
- Korlátozza a hitelesítési kísérletek számát: Használjon olyan hitelesítési módszert, amely korlátozza a sikertelen bejelentkezési kísérletek számát, például fail2ban vagy CSF/LFD. Ez segíthet megelőzni a nyers erővel (brute force) végrehajtott támadásokat.
- Tartsa naprakészen a szoftvert: Győződjön meg róla, hogy mind az SSH-kiszolgáló, mind az ssh kliens szoftver naprakész, és hogy minden biztonsági javítást feltelepítésre került.
Alapértelmezett SSH port módosítása
Nyissa meg az SSH konfigurációs fájlt egy szövegszerkesztővel, pl nano:
sudo nano /etc/ssh/sshd_config
Keresse meg a #Port 22 sort, és vegye ki a megjegyzést, vagy változtassa meg a portszámot a kívánt portra, például a 2255-ös portra. Mentse a fájlt és lépjen ki. Indítsa újra az SSH szolgáltatást:
sudo service sshd restart
SSH root hozzáférés letiltása
Nyissa meg az SSH konfigurációs fájlt szerkesztésre:
sudo nano /etc/ssh/sshd_config
Keresse meg a PermitRootLogin yes sort, és módosítsa a következőre:
PermitRootLogin no
Mentse a fájlt és lépjen ki. Indítsa újra az SSH szolgáltatást:
sudo service sshd restart
Erős SSH kulcs alapú hitelesítés használata
Generáljon SSH kulcspárt a helyi gépén:
ssh-keygen -o -a 100 -t ed25519
Másolja a nyilvános kulcsot a távoli kiszolgálóra, a user-t helyettesítse a felhasználónevével, a serverip szöveget pedig a kiszolgáló IP-címével.
ssh-copy-id user@serverip
Módosítsd az SSH konfigurációs fájlban a PasswordAuthentication értékét no értékre.
Indítsa újra az SSH szolgáltatást:
sudo service sshd restart
A hitelesítési kísérletek számának korlátozása
A “fail2ban” telepítése Debian, Ubuntu rendszerekre:
sudo apt-get install fail2ban
Állítsa be a fail2ban-t az SSH szolgáltatás figyelésére:
sudo nano /etc/fail2ban/jail.local
Adja hozzá a következő sorokat az [sshd] szekció alatt:
enabled = true
port = 2255 # Feltételezve, hogy ez az a port, amit az sshd-hez rendeltél.
filter = sshd
maxretry = 3
