Od źródło Użytkownik jest uniwersalny dla wszystkich systemów Linux i UNIX. Zawsze był preferowaną ofiarą brutru przez hakerzy do systemów dostępu. Aby brutalnie nieuprzywilejować konto, haker musi najpierw nauczyć się nazwy użytkownika, a nawet jeśli sukces atakujący pozostaje ograniczony, chyba że używa lokalnego exploita.Ten samouczek pokazuje, jak wyłączyć dostęp do korzenia za pośrednictwem SSH w 2 prostych krokach.

• Jak wyłączyć dostęp do root SSH na Debian 10 Buster
• Alternatywy w celu zabezpieczenia dostępu do SSH
• Filtrowanie portu SSH z IPTables
• Za pomocą opakowań TCP do filtrowania SSH
• Wyłączenie usługi SSH
• Powiązane artykuły

Jak wyłączyć dostęp do root SSH na Debian 10 Buster

Aby wyłączyć dostęp do root SSH, musisz edytować plik konfiguracyjny SSH, na Debian tak jest /etc/ssh/sshd_config, Aby edytować go za pomocą nano edytora tekstu:

nano/etc/ssh/sshd_config

Na Nano możesz nacisnąć Ctrl+w (gdzie) i typ Zezwolenie Aby znaleźć następujący wiersz:

#Permitrootlogin zakaz słowa

Aby wyłączyć dostęp do korzenia za pośrednictwem SSH, po prostu porzucona ta linia i wymień Zakaz słowa Do NIE jak na poniższym obrazie.

Po wyłączeniu naciśnięcia dostępu do root Ctrl+x I Y Aby zapisać i wyjść.

Zakaz słowa Opcja zapobiega zalogowanie się hasłem umożliwiające jedynie logowanie poprzez działania z opadaniem, takie jak klucze publiczne, zapobieganie atakom brutalnej siły.

Alternatywy w celu zabezpieczenia dostępu do SSH

Ogranicz dostęp do uwierzytelniania klucza publicznego:

Aby wyłączyć login hasło, umożliwiając tylko login za pomocą klucza publicznego otwórz otwórz /etc/ssh/ssh_config Plik konfiguracyjny ponownie, uruchamiając:

nano/etc/ssh/sshd_config

Aby wyłączyć login hasło, umożliwiając tylko login za pomocą klucza publicznego otwórz otwórz /etc/ssh/ssh_config Plik konfiguracyjny ponownie, uruchamiając:

nano/etc/ssh/sshd_config

Znajdź linię zawierającą Pubkeyauthentication I upewnij się, że mówi Tak jak w poniższym przykładzie:

Upewnij się, że uwierzytelnianie hasła jest wyłączone, znajdując linię zawierającą HasłoAuthentication, Jeśli skomentowano go i upewnij się, że jest ustawiony jako NIE Jak na poniższym obrazku:

Następnie naciśnij Ctrl+x I Y Aby zapisać i wyjść z edytora tekstu Nano.

Teraz jako użytkownik chcesz umożliwić dostęp do SSH, musisz generować pary prywatne i publiczne. Uruchomić:

ssh-keygen

Odpowiedz na sekwencję pytań, pozostawiając pierwszą odpowiedź Domyślnie, naciskając Enter, ustaw sferę, powtórz ją, a klawisze będą przechowywane pod adresem ~/.ssh/id_rsa

Generowanie publicznej/prywatnej pary kluczy RSA.
Wprowadź plik, w którym zapisz klucz (/root/.ssh/id_rsa):
Wprowadź hasło (pusta dla braku pensy): Wprowadź ponownie ten sam passfraza:
Twoja identyfikacja została zapisana w /root /.ssh/id_rsa.
Twój klucz publiczny został zapisany w /root /.ssh/id_rsa.pub.
Kluczowy odcisk palca to:
SHA256: 34+UXVI4D3IK6RYOATDKT6RAIFCLVLYZUDRLJWFBVO ROOT@LINUXHINT
Losowy obraz klucza to:
+---[RSA 2048]----+

Aby przenieść właśnie utworzone pary kluczy, możesz użyć ssh-copy-id Polecenie z następującą składnią:

ssh-copy-id @

Zmień domyślny port SSH:

Otworzyć /etc/ssh/ssh_config Plik konfiguracyjny ponownie, uruchamiając:

nano/etc/ssh/sshd_config

Powiedzmy, że chcesz użyć portu 7645 zamiast domyślnego portu 22. Dodaj linię jak w poniższym przykładzie:

Port 7645

Następnie naciśnij Ctrl+x I Y Aby zapisać i wyjść.

Uruchom ponownie usługę SSH, uruchamiając:

Usługa SSHD restart

Następnie powinieneś skonfigurować iptables, aby umożliwić komunikację za pośrednictwem portu 7645:

IPTABLES -T NAT -a Prerouting -p Tcp - -Dport 22 -J przekierowanie -do portu 7645

Zamiast tego możesz również użyć UFW (nieskomplikowana zapora):

UFW Zezwalaj na 7645/TCP

Filtrowanie portu SSH

Możesz także zdefiniować reguły, aby zaakceptować lub odrzucić połączenia SSH zgodnie z określonymi parametrami. Poniższa składnia pokazuje, jak zaakceptować połączenia SSH z określonego adresu IP za pomocą IPTables:

iptables -a wejście -p tcp - -dport 22 -Source -J Zaakceptuj
iptables -a wejście -p tcp -dport 22 -J upuścić

Pierwszy wiersz powyższego przykładu instruuje IPTABLES, aby zaakceptował żądania TCP przychodzące (wejściowe) do portu 22 z IP 192.168.1.2. Druga linia instruuje tabele IP, aby zrzucają wszystkie połączenia do portu 22. Możesz także filtrować adres źródłowy według adresu MAC, jak w poniższym przykładzie:

iptables -i wejście -p tcp - -dport 22 -m Mac ! --MAC-Source 02: 42: DF: A0: D3: 8f
-J odrzucam

Powyższy przykład odrzuca wszystkie połączenia, z wyjątkiem urządzenia z adresem MAC 02: 42: DF: A0: D3: 8f.

Za pomocą opakowań TCP do filtrowania SSH

Innym sposobem na białe adresy IP w celu połączenia przez SSH podczas odrzucenia reszty jest edycja hostów katalogów.Odmowa i gospodarze.Zezwalaj na zlokalizowanie w /etc.

Aby odrzucić wszystkie hosty, działają:

nano /itp.zaprzeczyć

Dodaj ostatni wiersz:

SSHD: Wszystko

Naciśnij Ctrl+X i Y, aby zapisać i wyjść. Teraz, aby umożliwić określone hosty za pośrednictwem SSH edytuj plik /etc /hosts.Pozwól, aby edytować go uruchom:

nano /itp.umożliwić

Dodaj linię zawierającą:

SSHD:

Naciśnij Ctrl+X, aby zapisać i wyjść z Nano.

Wyłączenie usługi SSH

Wielu użytkowników krajowych uważa SSH za bezużyteczne, jeśli w ogóle go nie używasz, możesz go usunąć lub możesz blokować lub filtrować port.

W Debian Linux lub systemach opartych jak Ubuntu możesz usunąć usługi za pomocą APT Package Manager.
Aby usunąć serwis SSH:

apt usuń ssh

Naciśnij Y, jeśli poproszono o zakończenie usunięcia.

I to chodzi o środki krajowe, aby zapewnić bezpieczeństwo SSH.

Mam nadzieję, że ten samouczek uznałeś za przydatny, śledź Linuxhint, aby uzyskać więcej wskazówek i samouczków na temat Linux i sieci.

Powiązane artykuły:

• Jak włączyć serwer SSH na Ubuntu 18.04 LTS
• Włącz SSH na Debian 10
• Przekazywanie portów SSH w Linux
• Wspólne opcje konfiguracji SSH Ubuntu
• Jak i dlaczego zmienić domyślny port SSH
• Skonfiguruj przekazanie SSH x11 na Debian 10
• Konfiguracja, dostosowywanie i optymalizacja Arch Linux SSH
• Iptables dla początkujących
• Praca z Firewallami Debian (UFW)