David Merron Photography/Getty ImagesJeg har brukt Secure Shell (SSH) i flere tiår. Med dette verktøyet for ekstern pålogging kan jeg være trygg på at de eksterne maskinene mine godtar pålogginger sikkert og effektivt. Samtidig forstår jeg også at ingenting er 100 % sikkert på noen enhet som er koblet til et nettverk, og det er derfor jeg alltid tar meg tid til å sikre SSH bedre på hver datamaskin jeg bruker.
Også : De beste VPN-tjenestene (og hvordan du velger den rette for deg)
Du kan bli overrasket over hvor enkelt det er å legge til noen ekstra “lag” med sikkerhet. Som jeg fremhever nedenfor, er det noen enkle å bruke tips som vil hjelpe Linux-skrivebordet og servermaskinen din til å være litt sikrere, slik at du kan stole på at de er bedre beskyttet mot uønskede pålogginger.
La oss sette i gang.
1. Installer fail2ban
En av de første tingene du bør gjøre (spesielt på en server) er å installere fail2ban, som forhindrer ondsinnede og brute-force påloggingsangrep og kan også brukes til å overvåke andre nettverksprotokoller (som HTTP, SSH og FTP).
Også: Trenger du antivirus på Linux?
Med fail2ban oppretter du fengsler, som er konfigurasjoner som forteller systemet hva det skal gjøre når visse ting skje (som et mislykket SSH-påloggingsforsøk). Fengselsfiler (vanligvis kalt jail.local) ligger i /etc/fail2ban/og kan se omtrent slik ut:
[sshd] aktivert = sann port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Du kan installere fail2ban på et Debian-basert system, med følgende kommando:
sudo apt-get install fail2ban -y
På et Fedora-basert system vil den kommandoen være:
sudo dnf install fail2ban -y
2. Endre standardporten
Som standard bruker SSH port 22 for innkommende tilkoblinger. Denne forbindelsen er allment kjent og kan føre til problemer. På mine viktigere systemer vil jeg alltid endre porten til noe annet, som 2124. Det er viktig at du endrer porten til noe som ikke brukes av et annet system.
Portkonfigurasjonen er satt i /etc/ssh/sshd_config-filen og i linjen #Port 22.
Også: 4 viktige sikkerhetstrinn du sannsynligvis glemmer< /p>
Sørg for å fjerne #-tegnet og endre 22 til hvilken port du vil bruke. Når du har gjort endringen, husk å starte SSH på nytt med:
sudo systemctl restart ssh
I tilfellet med Fedora-baserte systemer, vil kommandoen være:
sudo systemctl restart sshd
3. Blokker brukere med tomme passord
Selv om du sannsynligvis ikke har brukere på systemet ditt med tomme passord, faller dette tipset inn under kategorien “better safe than sorry”. Hvis du har en bruker med et tomt passord, og en dårlig skuespiller oppdager det, kan de enkelt få tilgang til maskinen din. For å forhindre denne situasjonen, åpne filen /etc/ssh/sshd_config og se etter linjen:
#PermitEmptyPasswords no
Endre den linjen til:
PermitEmptyPasswords no
Lagre og lukk filen og start SSH på nytt.
4. Begrens pålogginger til spesifikke IP-adresser
Et annet veldig nyttig triks er å begrense SSH-tilgang til spesifikke IP-adresser. For eksempel, hvis du bare har én person som trenger tilgang til en maskin, og deres IP-adresse er 192.168.1.11, kan du begrense SSH-tilgang ved hjelp av /etc/hosts.allow filen. Åpne den filen med din favoritt tekstredigerer, for eksempel nano, og legg til følgende linje nederst:
sshd: 192.168.1.62, 192.168.1.11
Hvis du har mer enn én IP-adresse du vil tillate i, kan du legge til så mange som nødvendig, og skille hver adresse med et komma, som f.eks.:
sshd: 192.168.1.62, 192.168.1.11, 192.168.1.12, 192.168.1.13, 192.1468.1. lukk filen.
5. Bruk SSH-nøkkelautentisering
Betydningen av SSH-nøkkelautentisering kan ikke overvurderes. Jeg har allerede vist i en annen artikkel hvordan denne teknikken er satt opp, så sørg for å lese gjennom den delen og implementere taktikken. I forbindelse med fail2ban er SSH-nøkkelautentisering en flott måte å forhindre uønskede SSH-pålogginger.
Og der har du det – fem enkle måter å sikre SSH på både Linux-stasjonære datamaskiner og servere. Bare fordi SSH har ordet sikker i seg, betyr det ikke at det skal ses på som et middel til et sikkert mål. Med litt ekstra konfigurasjon vil SSH-påloggingene dine være bedre beskyttet mot de dårlige aktørene som streifer rundt på internett på jakt etter tilgang til systemer.