Centos 7 настройка безопасности
После того как вы установили CentOS на свой VPS-сервер, крайне важно выполнить несколько дополнительных действий по настройке сервера и обеспечении его защиты от различных атак. Далее в статье я рассмотрю наиболее главные, на мой взгляд, шаги для создания полноценного и защищенного VPS-сервера.
После окончания создания нового VPS-сервера, вам будет выдан пароль для суперпользователя root. Сразу после подключения к вашему серверу по SSH, необходимо его изменить, т.к. иногда выданный пароль не является устойчивым к подбору (brutforce).
Зададим новый пароль для root.
В связи с этим, администратор сервера создаёт нового пользователя, которому частично делегируют привилегии root. Ниже рассмотрим процесс создания и настройки учетной записи нового пользователя системы.
Создадим новую учетную запись, из под которой будем всегда работать на сервере.
Добавим пароль для входа в систему.
Если вдруг вы забудете пароль, то этой же командой можно будет установить новый пароль, а старый пароль будет сброшен.
Для того чтобы новый пользователь мог устанавливать программные пакеты и редактировать системные файлы, необходимо делегировать ему полномочия суперпользователя.
Сделать это можно добавив учетную запись в группу суперпользователей - wheel .
Теперь новый пользователь username может исполнять команды от имени root , используя утилиту sudo .
Для того чтобы перейти в учетную запись нового пользователя используется команда su:
Для защиты от нежелательных внешних соединений с нашим сервером, обязательно нужно установить и включить файрвол.
Установим службу файрвола:
Включим файрвол и добавим его в список служб для автозапуска при рестарте системы:
sudo systemctl start firewalld;sudo systemctl enable firewalld;
Так как в сети существует большое количество запущенных по всему миру брутфорс-программ, которые день и ночь подбирают пароли к пользователю root и есть вероятность того, что ваш VPS тоже попадет под раздачу. В таком случае, разумным решением будет запретить возможность подключения root пользователя по SSH.
Откроем конфигурационный файл - /etc/ssh/sshd_config :
Изменим значение директивы PermitRootLogin .
Также изменим стандартный номер порта SSH, т.к. именно на стандартный 22 порт "стучатся" брутфорс-программы.
Все порты можно разделить на три группы:
Для начала выберем номер порта, на котором будет работать SSH. Выбирать значение номера порта рекомендуется в пределах 49152 - 65535. Чтобы выбрать какой-либо порт, сначала нужно проверить не занят ли он другим сервисом. Для примера, я выберу порт с номером 63356.
Проверим занятость порта 63356 следующей командой:
Если в результате работы команды вы не получили явного ответа, то это говорит о том, что этот порт свободен. В противном случае, в ответе вы увидите имя сервиса, который уже занял выбранный вами порт.
Мы живём в опасное время: едва ли не каждый день обнаруживаются новые уязвимости, на их основе создают эксплойты, под ударом может оказаться и обычный домашний компьютер на Linux, и сервер, от которого зависит огромная организация.
Возможно, вы уделяете внимание безопасности и периодически обновляете систему, но обычно этого недостаточно. Поэтому сегодня мы поделимся двенадцатью советами по повышению безопасности Linux-систем на примере CentOS 7.
Защита терминала
Для того, чтобы повысить безопасность системы, можно защитить консольный доступ к ней, ограничив root-пользователя в использовании определённых терминалов. Сделать это можно, задав терминалы, которые может использовать суперпользователь, в файле /etc/securetty .
Рекомендуется, хотя это и не обязательно, позволить суперпользователю входить в систему только из одного терминала, оставив остальные для других пользователей.
Напоминания о смене пароля
В наши дни сложный пароль — вещь совершенно необходимая. Однако, ещё лучше, когда пароли регулярно меняют. Об этом легко забыть, поэтому хорошо бы задействовать какой-нибудь системный механизм напоминаний о возрасте пароля, и о том, когда его надо поменять.
Мы предлагаем вам два способа организации подобных напоминаний. Первый заключается в использовании команды chage , второй — в установке необходимых значений по умолчанию в /etc/login.defs .
Вызов команды chage выглядит так:
Тут мы используем ключ -M для того, чтобы установить срок истечения актуальности пароля в днях.
Использовать эту команду можно и без ключей, тогда она сама предложит ввести необходимое значение:
Второй способ заключается в модификации файла /etc/login.defs . Вот пример того, как могут выглядеть интересующие нас значения. Вы можете изменить их на те, которые нужны вам:
Помните о том, что вам, если вы играете роль администратора, следует способствовать тому, чтобы пользователи применяли сложные пароли. Сделать это можно с помощью pam_cracklib.
После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:
Уведомления sudo
Команда sudo , с одной стороны, упрощает жизнь, а с другой, может стать причиной проблем с безопасностью Linux, которые могут привести к непоправимым последствиям. Настройки sudo хранятся в файле /etc/sudoers . С помощью этого файла можно запретить обычным пользователям выполнять некоторые команды от имени суперпользователя. Кроме того, можно сделать так, чтобы команда sudo отправляла электронное письмо при её использовании, добавив в вышеупомянутый файл следующее:
Также надо установить свойство mail_always в значение on :
Защита SSH
Если мы говорим о безопасности Linux, то нам стоит вспомнить и о службе SSH. SSH — это важная системная служба, она позволяет удалённо подключаться к системе, и иногда это — единственный способ спасти ситуацию, когда что-то идёт не так, поэтому об отключении SSH мы тут не говорим.
Тут мы используем CentOS 7, поэтому конфигурационный файл SSH можно найти по адресу etc/ssh/sshd_config . Сканеры или боты, которых используют атакующие, пытаются подключиться к SSH по используемому по умолчанию порту 22.
Распространена практика изменения стандартного порта SSH на другой, неиспользуемый порт, например, на 5555 . Порт SSH можно изменить, задав нужный номер порта в конфигурационном файле. Например, так:
Кроме того, можно ограничить вход по SSH для root-пользователя, изменив значение параметра PermitRootLogin на no :
И, конечно, стоит отключить аутентификацию с применением пароля и использовать вместо этого публичные и приватные ключи:
Теперь поговорим о тайм-аутах SSH. Проблему тайм-аутов можно решить, настроив некоторые параметры. Например, следующие установки подразумевают, что пакеты, поддерживающие соединение, будут автоматически отправляться через заданное число секунд:
Настроив эти параметры, вы можете увеличить время соединения:
Можно указать то, каким пользователям разрешено использовать SSH:
Разрешения можно назначать и на уровне групп:
Защита SSH с использованием Google Authenticator
Для ещё более надёжной защиты SSH можно использовать двухфакторную аутентификацию, например, задействовав Google Authenticator. Для этого сначала надо установить соответствующую программу:
Затем запустить её для проверки установки:
Так же нужно, чтобы приложение Google Authenticator было установлено на вашем телефоне.
Отредактируйте файл /etc/pam.d/sshd , добавив в него следующее:
Теперь осталось лишь сообщить обо всём этом SSH, добавив следующую строку в файл /etc/ssh/sshd_config :
Теперь перезапустите SSH:
Когда вы попытаетесь войти в систему с использованием SSH, вам предложат ввести код верификации. Как результат, теперь SSH-доступ к вашей системе защищён гораздо лучше, чем прежде.
Мониторинг файловой системы с помощью Tripwire
Tripwire — это замечательный инструмент для повышения безопасности Linux. Это — система обнаружения вторжений (HIDS).
Задача Tripwire заключается в том, чтобы отслеживать действия с файловой системой, следить за тем, кто меняет файлы, и когда происходят эти изменения.
Для того, чтобы установить Tripwire, нужен доступ к репозиторию EPEL. Это задача несложная, решить её можно следующими командами:
Теперь создайте файл ключей:
Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt . Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.
Когда настройка программы завершена, следует её инициализировать:
Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.
Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.
По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:
И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt . Это повысит безопасность системы.
У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так:
Использование Firewalld
Firewalld — это замена для iptables , данная программа улучшает сетевую безопасность Linux. Firewalld позволяет вносить изменения в настройки, не останавливая текущие соединения. Файрвол работает как сервис, который позволяет добавлять и менять правила без перезапуска и использует сетевые зоны.
Для того, чтобы выяснить, работает ли в настоящий момент firewalld , введите следующую команду:
Просмотреть предопределённые сетевые зоны можно так:
Каждая из этих зон имеет определённый уровень доверия.
Это значение можно обновить следующим образом:
Получить подробные сведения о конкретной зоне можно так:
Просмотреть список всех поддерживаемых служб можно следующей командой:
Затем можно добавлять в зону новые службы или убирать существующие:
Можно вывести сведения обо всех открытых портах в любой зоне:
Добавлять порты в зону и удалять их из неё можно так:
Можно настраивать и перенаправление портов:
Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables , при работе с которым службу в похожих ситуациях нужно перезапускать.
Переход с firewalld на iptables
Некоторые предпочитают файрвол iptables файрволу firewalld . Если вы пользуетесь firewalld , но хотите вернуться к iptables , сделать это довольно просто.
Сначала отключите firewalld :
Затем установите iptables :
Теперь можно запустить службу iptables :
После всего этого перезагрузите компьютер.
Ограничение компиляторов
Атакующий может скомпилировать эксплойт на своём компьютере и выгрузить его на интересующий его сервер. Естественно, при таком подходе наличие компиляторов на сервере роли не играет. Однако, лучше ограничить компиляторы, если вы не используете их для работы, как происходит в большинстве современных систем управления серверами.
Для начала выведите список всех бинарных файлов компиляторов из пакетов, а затем установите для них разрешения:
Создайте новую группу:
Затем измените группу бинарных файлов компилятора:
И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:
Предотвращение модификации файлов
Иммутабельные файлы не может перезаписать ни один пользователь, даже обладающий root-правами. Пользователь не может модифицировать или удалить такой файл до тех пор, пока установлен флаг иммутабельности, снять который может лишь root-пользователь.
Несложно заметить, что эта возможность защищает вас, как суперпользователя, от ошибок, которые могут нарушить работу системы. Используя данный подход, можно защитить конфигурационные файлы или любые другие файлы по вашему желанию.
Для того, чтобы сделать любой файл иммутабельным, воспользуйтесь командой chattr :
Атрибут иммутабельности можно удалить такой командой:
Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.
Управление SELinux с помощью aureport
Нередко система принудительного контроля доступа SELinux оказывается, по умолчанию, отключённой. Это не влияет на работоспособность системы, да и работать с SELinux довольно сложно. Однако, ради повышения безопасности, SELinux можно включить, а упростить управление этим механизмом можно, используя aureport .
Утилита aureport позволяет создавать отчёты на основе лог-файлов аудита.
Список исполняемых файлов можно вывести следующей командой:
Можно использовать aureport для создания полного отчёта об аутентификации:
Также можно вывести сведения о неудачных попытках аутентификации:
Или, возможно, сводку по удачным попыткам аутентификации:
Утилита aureport значительно упрощает работу с SELinux.
Использование sealert
В дополнение к aureport вы можете использовать хороший инструмент безопасности Linux, который называется sealert . Установить его можно так:
Теперь у нас есть средство, которое будет выдавать оповещения из файла /var/log/audit/audit.log и даст нам дополнительные сведения о проблемах, выявленных SELinux.
Использовать его можно так:
Самое интересное тут то, что в оповещениях можно найти советы о том, как решать соответствующие проблемы.
Итоги
Надеемся, приведённые здесь советы помогут вам сделать вашу установку Linux безопаснее. Однако, если речь идёт о защите информации, нельзя, применив те или иные меры, считать, что теперь вам ничто не угрожает. К любым программным средствам защиты всегда стоит добавлять бдительность и осторожность.
В этой статье мы рассмотрим основные концепции и конкретные настройки, которые помогут повысить защищенность вашего CentOS сервера в Интернете. Использование данных подходов позволит повысить защиту сервера от взлома и заражения. Инструкция в большей части универсальна и основные моменты подойдут для повышения безопасности любого Linux сервера.
Разбивка и опции монтирования дисков для изоляции
При установке CentOS (и любого дистрибутива Linux) на этапе разбивки диска, не создавайте один раздел, а отделите web-пространство от основного раздела, также создайте системные разделы:
При изоляции разделов злоумышленники не смогут подняться выше директории web при взломе сайта и внедрения в него вредоносных скриптов.
Используйте специальные опции для безопасного монтирования некоторых разделов диска:
-
noexec – не позволяет запускать бинарные файлы (нельзя использовать на корневой директории, так как это приведет к неработоспособности системы);
Данные параметры могут быть установлены на директорию, только если она существует как отдельный раздел. Вы можете настроить /etc/fstab согласно следующим рекомендациям, если таковые разделы на диске у вас существуют:
Все вышеперечисленные разделы монтируются с опцией rw (возможность записи).Установка и обновление программного обеспечения в Linux (CentOS)
При усановке сервера никогда не используйте дистрибутивы ОС, собранные неизвестными лицами. Скачивайте дистрибутивы только с официальных зеркал и не пользуйтесь чужими кикстарт файлами для установки. Если вы не разбираетесь в чужом коде, лучше вообще отменить эту затею и установить все вручную, либо проанализировать кикстарт файл полностью, чтобы не установить что-то вредоносное на свой сервер.
Устанавливайте только минимально необходимое ПО. Установка и настройка только по делу и с помощью установщика yum и dnf. Проверьте все установленное ПО и удалите ненужные пакеты:
yum list installed
yum list packageName
yum remove packageName
Используйте только официальные и доверенные репозитории пакетов.
Не используйте нешифрованные протоколы FTP, Telnet, Rlogin, Rsh.
Отключайте неиспользуемые сервисы на своем сервере, если в данный момент удаление сервиса вам не подходит.
Чтобы проверить список всех сервисов, используйте команду:
systemctl list-unit-files --type=service
systemctl stop service
systemctl disable service
Всегда держите в актуальном состоянии установленное программное обеспечение на вашем сервере. Вовремя обновленное ПО, защитит вас от известных уязвимостей. Вы можете настроить автоматическое обновление системы, чтобы каждый раз не выполнять это вручную.
yum update — обновление системы
Защита SSH, авторизация по ключам
Для безопасной авторизации на сервере, используйте приватный ключ. Сгенерируйте ключ с помощью утилиты ssh-keygen:
После генерации, вы можете подключиться с помощью данного ключа к серверу, через ssh-клиент.
Создайте дополнительного пользователя и выполняйте команды через sudo.
sudo groupadd sudo – создать группу sudo
adduser webmaster – создать пользователя
passwd webmaster – поменять пароль
usermod -aG sudo webmaster — добавить пользователя в группу sudo
В файле /etc/sudoers добавьте строку:
%sudo ALL=(ALL:ALL) ALL
Отключите в настройка ssh-сервера, авторизацию через root и по логину/паролю:
И изменяем значение указанных ниже строк на:
Смените стандартный порт для ssh. Порт по умолчанию для ssh, в первую очередь будет подвержен взлому.
Чтобы поменять стандартный порт на ssh, в конфигурационном файле /etc/ssh/sshd_config замените значение в строке:
Регулярная смена паролей в Linux
Если вы все же используете пароли для авторизации в Linux, то настройте срок действия пароля через утилиту chage.
Чтобы проверить, сколько дней будет действовать пароль для любого пользователя, используйте команду:
По умолчанию для root у меня было установлено 99999 дней:
Чтобы изменить срок действия пароля (например 9 дней), воспользуйтесь командой:
Теперь при проверке информации о сроке пароля для пользователя root, информация поменялась:
Больше опций по утилите chage вы можете получить из справки:
Для блокировки пользователей при вводе неправильного пароля, воспользуйтесь утилитой fail2ban (она позволяет реализовать аналог групповых политик блокировки учетных записией в Windows). Fail2ban позволяет защитить сервер Linux и службы от подбора паролей.
Для установки fail2ban выполните:
yum install epel-release fail2ban -y
Конфигурационный файл fail2ban расположен в /etc/fail2ban/jail.conf. Настройки, которые мы затронем:
- bantime = 600 — время бана при блокировке
- maxretry = 3 – количество попыток неправильного ввода пароля, после которых пользователь будет заблокирован
- findtime = 600 – временной отрезок, в которой нужно авторизоваться пользователю
Остальные настройки используются по желанию. Дополнительно вы можете настроить отправку отчетов к себе на почту.
Создайте файл /etc/fail2ban/jail.local и добавьте туда следующие строки:
После изменения конфигурационного файла, перезапустите сервис.
После чего сохраните файл и перезапустите сервис fail2ban:
systemctl restart fail2ban
Таким образом, мы настроили блокировку пользователей для ssh:
При неправильном вводе пароля, меня заблокировало на 10 минут. Вы можете настроить fail2ban для работы с любым сервисом, который работает с пользователями, например:
Повышение защиты сервера с помощью SELinux
Обычно при настройке сервера, я отключаю SELinux, хотя это не рекомендуется. Но настройка SELinux очень специфична и обширна. Настройка SELinux на сервере может затянуться на несколько дней. Если у вас есть время на настройку и отладку системы SELinux, то воспользуйтесь ей для безопасности вашего сервера.
SELinux имеет 3 режима работы:
- Enforcing
- Permissive
- Disabled
В режиме enforsing SELinux применяет свою политику в системе и следит за несанкционированным доступом со стороны пользователей. Все попытки регистрируются в логах.
В режиме permissive политика SELinux не применяется, но вся информация фиксируется в логах, после чего вы можете их проанализировать. Данный режим полезен при настройке и отладке системы.
И disabled соответственно вообще отключает SELinux и ее политика не применяется вообще.
Тщательную настройку SELinux можно расписать на несколько статей, если вам нужна подробная информация, можно воспользоваться официальной документацией RedHat. Обычно при настройке сервера, все работает полноценно, я с включенным SELinux замечал, что возникают проблемы с ftp-сервером, а также с некоторым платным ПО.
Для более удобного изучения логов SELinux рекомендую использовать утилиты aureport и sealer.
Настройка брандмауэра Firewalld
Откройте только минимально необходимый набор портов на сервере, которые действительно нужны для работы. Например, для работы web-серверов достаточно открыть 80 и 443. Если вы используете mysql/mariadb, отключите возможность подключения с удаленных серверов на порт 3306 (если ваша БД используется только локально, не включена в кластер Galera и не испольуется в сценариях репликации).
Если у вас на компьютере/шлюзе доступа задан статический IP адрес, добавьте в исключения файервола ваш доверенный адрес и подключайтесь к серверу с него. Подробнее о настройке firewalld в CentOS (если вы привыкки к iptables смотрите статью Настройка Linux-файрвола с помощью iptables).
Чтобы проверить открытые порты на сервере, используйте утилиту netstat:
Удаление X Windows
Не используйте на своем сервере систему X Windows. Удалите все ПО, которое связанно с этой системой, нет необходимости использовать это на Linux сервере:
yum group remove "GNOME Desktop"
yum group remove "KDE Plasma Workspaces"
yum group remove "Server with GUI"
yum group remove "MATE Desktop"
Защита ядра Linux
Используйте настройки в файле /etc/sysctl.conf для обеспечения дополнительной безопасности во время загрузки ядра Linux.
Включите execshield:
Отключите IP-маршрутизацию (если ваш сервер не используется как шлюз доступа в Интернет из LAN):
Включите защиту от спуфинга
Включите игнорирование широковещательных запросов
Включите регистрацию подозрительных пакетов
Права на файлы в Linux
Запустите поиск файлов без пользователя и группы, такие файлы потенциально несут угрозу и могут быть использованы злоумышленниками. Чтобы найти такие файлы, используйте команду:
find /директория -xdev \( -nouser -o -nogroup \) -print
Если файлы будут найдены, измените на них владельца и группу.
Установите флаг chattr на нужные файлы, чтобы защитить их от модификации. Ни один пользователь, не сможет изменить файл, пока данный флаг установлен. Например:
chattr +i /etc/mysript.sh
Не устанавливайте слишком высокие права на директории и файлы, например, стандартные права для web:
В некоторых случаях, могут быть исключения, но всегда внимательно подходите к этому вопросу. Запретите пользователям выставлять разрешение 777. Вы можете найти такие файлы:
find /home -type f -perm 777
Защита Web-сервера
Если вы используете сервер под web, позаботьтесь о настройке web-сервисов. Закройте просмотр содержимого директорий через Options -Indexes, а также добавьте X-frame.
Данный параметр, запретит открывать страницу во фрейме, это предотвратит встраивание контента вашего сайта на другие сайты.
Отключите показ версии вашего web-сервера. Для apache в конфигурационном файле пропишите:
Если вы используете php, запретите небезопасные функции через php.ini:
— запретит показ версии php
– запретит использование данных функций
Так же настройте лимиты по выполнению скриптов и их размер, это обезопасит вас от мелких атак.
Защита физического сервера
Если на вашем сервере есть консоль для удаленного доступа ILO/IPMI/BMC, закройте доступ к ней из вне, оставьте только ваш доверенный IP, это позволит ограничить себя от лишних проблем.
Если ваш физический сервер размещается вне офиса/дома, закройте BIOS/UEFI паролем.
И главный момент, размещайте свои сервера у проверенных провайдеров.
Резервное копирование сервера Linux
Конечно не стоит забывать о резервном копировании сервера. Вы можете выполнять резервные копии как всего сервера, так и отдельно взятые файлы или директории (можно настроить бэкап в бесплатные облачные хранилища скриптами). В случае какого-либо инцидента, у вас всегда под рукой будет актуальная резервная копия, из которой можно развернуть сервер или заменить конфигурационный файлы.
Впервые заходя на новый виртуальный выделенный сервер, необходимо выполнить несколько действий, которые повысят его безопасность. В данном руководстве речь пойдет о том, как создать нового пользователя, передать ему соответствующие привилегии и настроить SSH.
1. Войдите как root-пользователь.
Получив свой IP-адрес и root-пароль, войдите на сервер как главный пользователь (root). Для этого используйте команду (замените выделенный IP своим IP-адресом):
Терминал вернет что-то вроде:
Выберите yes и введите свой root-пароль.
Примечание: использовать учетную запись root на регулярной основе не рекомендуется! Данное руководство поможет создать другого пользователя для постоянной работы.
2. Измените пароль root-пользователя.
На данный момент используется root-пароль, установленный по умолчанию и полученный после регистрации сервера. Первое, что нужно сделать, — заменить его собственным паролем.
3. Создайте нового пользователя.
Войдя на сервер и изменив root-пароль, нужно снова войти на VPS как root. Данный раздел продемонстрирует, как создать нового пользователя и установить пароль для него.
Итак, создайте нового пользователя. Для этого используйте следующую команду (замените test своим именем пользователя):
Теперь создайте пароль для этого пользователя (опять же, замените test именем только что созданного пользователя):
4. Root-привилегии.
На данный момент все права администратора принадлежат root-пользователю. Чтобы иметь возможность постоянно использовать новую учетную запись, нужно передать новому пользователю (test) все root-привилегии.
Для выполнения задач с привилегиями root нужно начинать команду с sudo.
Эта фраза полезна по двум причинам:
- Она защищает систему от разрушающих ошибок, допущенных пользователем;
- Она хранит все запущенные с sudo команды в файле /var/log/secure , который позже можно просмотреть.
Теперь нужно изменить настройки sudo. Для этого используйте текстовый редактор CentOS 7, который называется mcedit и сходит в состав пакета программного обеспечения Midnight Commander.
Установим Midnight Commander:
Подробнее о Midnight Commander можно узнать из статьи «CentOS 7: Установка Midnight Commander».
Найдите раздел User privilege specification, который выглядит так:
После строки с привилегиями root внесите следующую строку, которая передаст все привилегии новому пользователю:
Внесите изменения. Не забудьте сохранить файл.
5. Настройте SSH (дополнительно).
Теперь нужно обезопасить сервер. Этот дополнительный раздел расскажет, как защитить сервер путем усложнения процедуры авторизации.
Внимание! Прежде чем смело менять порт ssh, в начале его пробросьте в брандмауэре и в маршрутизаторе, иначе поменяете и потом не сможете попасть на сервер. Получится очень глупая ситуация. Чем привыкли пользоваться, тем и пробрасывайте.
Откройте конфигурационный файл:
Найдите следующие разделы и внесите в них соответствующие изменения:
Port: хотя по умолчанию используется порт 22, его номер можно заменить любым другим в диапазоне от 1025 до 65536. В данном руководстве используется SSHD-порт 25000. Обратите внимание: новый номер порта нужно обязательно запомнить/записать, поскольку он понадобится для входа на сервер через SSH.
PermitRootLogin: измените значение yes на no, чтобы отключить вход в систему как root. Теперь войти на сервер можно только при помощи нового пользователя.
Чтобы SSH мог использовать только конкретный пользователь, добавьте эту строку в нижней части документа (замените test своим именем пользователя):
Затем сохраните изменения и закройте файл.
6. Перезапуск SSH.
Чтобы активировать внесенные изменения, перезапустите сервис SSHD:
Чтобы протестировать новые настройки (пока что не выходите из учетной записи root), откройте терминал и войдите на сервер как новый пользователь (не забудьте указать правильный IP-адрес и порт):
Читайте также: