🐧 Обеспечение безопасности SSH 5 простых советов для лучшей защиты 🛡️
Улучшение безопасности удаленного доступа к системе Linux с помощью Secure Shell
5 способов обеспечить безопасность SSH на вашей Linux-системе
![Генту пингвин в Антарктике](https://cdn.miximages.com/tech/278aac3d354d183176886091a35f07f6.jpg)
Я пользуюсь Secure Shell (SSH) уже десятилетия. С помощью этого инструмента удаленного входа я могу быть уверен, что мои удаленные машины принимают логины надежно и эффективно. Тем не менее, я также понимаю, что ничего нельзя считать на 100% безопасным на любом устройстве, подключенном к сети, поэтому я всегда уделяю время улучшению безопасности SSH на каждом компьютере, который я использую.
🌐 Также: Лучшие услуги VPN (и как выбрать подходящую для вас)
Возможно, вас удивит, насколько просто добавить несколько дополнительных “слоев” безопасности. Как я отмечаю ниже, существуют простые советы, которые помогут вашему настольному компьютеру и серверу под Linux быть немного безопаснее, так что вы можете доверять, что они лучше защищены от нежелательных логинов. Давайте приступим к работе.
1. Установите fail2ban: Защитник машин 🦸♀️
Одним из первых действий, которые вы должны сделать (особенно на сервере), является установка fail2ban, который предотвращает злонамеренные атаки на логин и перебор паролей, а также может использоваться для мониторинга других сетевых протоколов (таких как HTTP, SSH и FTP).
🌐 Также: Нужен ли антивирус на Linux?
- Сингапур повысит уровень Национальной широкополосной сети для разви...
- 📡 Крупный сбой AT&T отключил клиентов
- Golden Ventures собрала $100 миллионов в пятый фонд.
С помощью fail2ban вы создаете тюрьмы (jails), которые представляют собой конфигурации, которые указывают системе, что делать, когда происходят определенные события (например, неудачная попытка входа по SSH). Файлы тюрем (обычно с именем jail.local) находятся в /etc/fail2ban/
и могут выглядеть примерно так:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
findtime = 300
bantime = 28800
ignoreip = 127.0.0.1
Вы можете установить fail2ban на системе на основе Debian с помощью следующей команды:
sudo apt-get install fail2ban -y
На системе на основе Fedora это команда будет:
sudo dnf install fail2ban -y
“`html
2. Изменение порта по умолчанию: Тайный маневр 🕵️♂️
По умолчанию SSH использует порт 22 для входящих соединений. Это соединение является общеизвестным и может привести к проблемам. На более важных системах я всегда изменяю порт на что-то другое, например, 2124. Важно, чтобы вы изменили порт на что-то, что не используется другой системой.
🌐 Также: 4 ключевые шаги безопасности, которые, возможно, вы забыли
Конфигурация порта устанавливается в файле /etc/ssh/sshd_config
и на строке #Port 22
.
Убедитесь, что удалили символ #
и изменили 22
на тот порт, который вы хотите использовать. После внесения изменений не забудьте перезапустить SSH с помощью:
“`
sudo systemctl restart ssh
В случае систем на базе Fedora это команда будет:
sudo systemctl restart sshd
“`html
3. Блокировка пользователей с пустыми паролями: Нет места для пустоты 💔
Хотя у вас, вероятно, нет пользователей в системе с пустыми паролями, этот совет относится к категории “лучше перебдеть, чем недобдеть”. Если у вас есть пользователь с пустым паролем, и плохой актер его обнаружит, он сможет легко получить доступ к вашему компьютеру. Чтобы предотвратить эту ситуацию, откройте файл /etc/ssh/sshd_config
и найдите строку:
“`
#PermitEmptyPasswords no
Измените эту строку на:
PermitEmptyPasswords no
“`html
Сохраните и закройте файл, а затем перезапустите SSH.
4. Ограничение входа по конкретным IP-адресам: Список VIP 🌍
Ещё один очень удобный трюк – ограничить доступ к SSH конкретными IP-адресами. Например, если у вас есть только один человек, который нуждается в доступе к машине, и его IP-адрес 192.168.1.11
, вы можете ограничить доступ к SSH с помощью файла /etc/hosts.allow
. Откройте этот файл в вашем любимом текстовом редакторе, таком как nano, и добавьте следующую строку в конец:
“`
sshd: 192.168.1.62, 192.168.1.11
Если у вас есть более одного IP-адреса, который вы хотите разрешить, вы можете добавить столько адресов, сколько необходимо, разделяя каждый адрес запятой, как показано ниже:
sshd: 192.168.1.62, 192.168.1.11, 192.168.1.12, 192.168.1.13, 192.168.1.14
“`html
Сохраните и закройте файл.
5. Используйте аутентификацию по ключам SSH: Passkeys Unite 🔑✨
Важность аутентификации по ключам SSH нельзя недооценить. Я уже показал в другой статье, как настраивается эта техника, так что обязательно прочтите этот материал и примените тактику. В сочетании с fail2ban, аутентификация по ключам SSH — отличный способ предотвратить нежелательные входы по SSH.
И вот вам пять простых способов обеспечить безопасность SSH как на рабочих столах Linux, так и на серверах. Просто потому, что в слове SSH есть слово “secure” (безопасный), не значит, что его следует рассматривать как средство к безопасному концу. С небольшой дополнительной настройкой ваши входы по SSH будут лучше защищены от недобросовестных лиц, которые бродят по интернету в поисках доступа к системам.
Цитированные источники: 1. Как использовать командную строку в Windows 10 & 11 [2024] 2. Как безопасно и надёжно пользоваться Тёмным Вебом [2024] 3. Deepin 23 стремится вернуть титул самого красивого рабочего стола Linux 4. OM Systems OM1 Mark II предлагает улучшенную стабилизацию автофокуса 5. Fedora Linux работает на компьютерах Mac с процессором M1 — кроме одного момента
Не стесняйтесь делиться этой статьей со своими коллегами-линуксоидами, и давайте держать наши системы в безопасности вместе! 💪🔒
📢 Сессия вопросов и ответов: Решение ваших проблем 🙋♀️🙋♂️
В: Fail2ban полезен только для безопасности SSH? О: Нет, fail2ban — универсальное приложение, которое также может использоваться для мониторинга других сетевых протоколов, таких как HTTP и FTP. Это мощный инструмент для предотвращения злонамеренных атак на вход на различные службы.
В: Каковы преимущества изменения порта SSH по умолчанию? О: Изменение порта SSH по умолчанию добавляет дополнительный уровень сокрытия к вашей системе. Хотя это не остановит настойчивого хакера, это поможет отпугнуть некоторые автоматические инструменты сканирования от направления своих атак непосредственно на ваш компьютер.
В: Могу ли я использовать одновременно аутентификацию по ключам SSH и вход по паролю? О: Да, вы можете настроить SSH для разрешения как аутентификацию по ключам SSH, так и вход по паролю. Однако рекомендуется использовать только аутентификацию по ключам SSH для повышения безопасности.
В: Что произойдет, если я заблокирую себя в системе с включенным fail2ban? О: Если вы случайно вызвали блокировку fail2ban и оказались заблокированными, вы все равно можете вернуть доступ, либо дождавшись истечения срока бана, либо удалив ваш IP-адрес из конфигурации fail2ban вручную.
В: Эти советы применимы только к системам Linux? О: Хотя эта статья сосредоточена на обеспечении безопасности SSH на Linux-рабочих столах и серверах, многие из этих советов также применимы к другим операционным системам, поддерживающим SSH, таким как BSD и macOS.
Помните, обеспечение безопасности ваших соединений SSH — это непрерывное путешествие. Будьте проактивными и оставайтесь в безопасности! 🛡️✨
👍 Наслаждались статьей? Поделитесь ею со своими друзьями!
“`