Habib M'henni/Wikimedia Commons, CC BY-SA

Faoi láthair, tá sé ina ábhar cúpla nóiméad agus cúpla cad a tharlaíonn ar an luch a bhunú freastalaí ar óstáil. Ach díreach tar éis seoladh, faigheann sé é féin i dtimpeallacht naimhdeach, toisc go bhfuil sé ar oscailt don Idirlíon ar fad cosúil le cailín neamhchiontach ag dioscó rocker. Gheobhaidh scanóirí é go tapa agus gheobhaidh siad amach na mílte róbónna a scriptítear go huathoibríoch a sciúradh an líonra sa tóir ar leochaileachtaí agus cumraíochtaí míchearta. Tá roinnt rudaí ba chóir duit a dhéanamh díreach tar éis seoladh chun cosaint bhunúsach a chinntiú.

Ábhar

• Úsáideoir neamhfhréamh
• Eochracha in ionad pasfhocail SSH
• Balla dóiteáin
• Fail2Ban
• Nuashonruithe slándála uathoibríoch
• Na calafoirt réamhshocraithe a athrú

Úsáideoir neamhfhréamh

Is é an chéad rud is gá duit a dhéanamh ná úsáideoir neamhfhréamh a chruthú duit féin. Is é an pointe go bhfuil an t-úsáideoir root pribhléidí iomlána sa chóras, agus má cheadaíonn tú riarachán iargúlta dó, déanfaidh tú leath na hoibre don hacker, rud a fhágann ainm úsáideora bailí dó.

Mar sin, ní mór duit úsáideoir eile a chruthú, agus riarachán iargúlta a dhíchumasú trí SSH le haghaidh fréamh.

Cruthaítear úsáideoir nua leis an ordú useradd:

useradd [options] <username>

Ansin cuirtear pasfhocal leis leis an ordú passwd:

passwd <username>

Ar deireadh, ní mór an t-úsáideoir seo a chur le grúpa a bhfuil an ceart aige orduithe a fhorghníomhú le pribhléidí ardaithe sudo. Ag brath ar dháileadh Linux, d'fhéadfadh gur grúpaí éagsúla iad seo. Mar shampla, in CentOS agus Red Hat cuirtear úsáideoir le grúpa wheel:

usermod -aG wheel <username>

Ar Ubuntu cuirtear leis an ngrúpa é sudo:

usermod -aG sudo <username>

Eochracha in ionad pasfhocail SSH

Is veicteoir ionsaí caighdeánach é fórsa brute nó sceitheadh ​​pasfhocail, mar sin is fearr fíordheimhniú pasfhocail a dhíchumasú i SSH (Secure Shell) agus fíordheimhniú eochair a úsáid ina ionad sin.

Tá cláir éagsúla ann chun an prótacal SSH a chur i bhfeidhm, mar shampla lsh и Béaróg, ach is é OpenSSH an ceann is mó tóir. Suiteáil an cliant OpenSSH ar Ubuntu:

sudo apt install openssh-client

Suiteáil freastalaí:

sudo apt install openssh-server

Ag tosú an deamhan SSH (sshd) ar fhreastalaí Ubuntu:

sudo systemctl start sshd

Cuir tús leis an deamhan go huathoibríoch ar gach tosaithe:

sudo systemctl enable sshd

Ba chóir a thabhairt faoi deara go n-áirítear an chuid freastalaí OpenSSH an chuid cliant. Is é sin, tríd openssh-server is féidir leat ceangal le freastalaithe eile. Thairis sin, ó do mheaisín cliant is féidir leat tollán SSH a sheoladh ó fhreastalaí iargúlta go hóstach tríú páirtí, agus ansin measfaidh an t-óstach tríú páirtí gurb é an cianfhreastalaí foinse na n-iarratas. Feidhm an-áisiúil chun do chóras a chumhdach. Le haghaidh tuilleadh sonraí, féach an t-alt. "leideanna praiticiúla, samplaí agus tolláin SSH".

De ghnáth ní bhíonn aon phointe ag baint le freastalaí lán-chuimsitheach a shuiteáil ar an meaisín cliant chun cosc ​​​​a chur ar an bhféidearthacht go ndéanfaí ciancheangail leis an ríomhaire (ar chúiseanna slándála).

Mar sin, do d'úsáideoir nua, ní mór duit eochracha SSH a ghiniúint ar an ríomhaire óna bhfaighidh tú rochtain ar an bhfreastalaí:

ssh-keygen -t rsa

Stóráiltear an eochair phoiblí i gcomhad .pub agus is cosúil le teaghrán de charachtair randamacha a thosaíonn le ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

Ansin, mar fhréamh, cruthaigh eolaire SSH ar an bhfreastalaí in eolaire baile an úsáideora agus cuir an eochair phoiblí SSH leis an gcomhad authorized_keysag baint úsáide as eagarthóir téacs cosúil le Vim:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

Ar deireadh, socraigh na ceadanna cearta don chomhad:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

agus athraigh úinéireacht don úsáideoir seo:

chown -R username:username /home/username/.ssh

Ar thaobh an chliaint, ní mór duit suíomh na heochrach rúnda le haghaidh fíordheimhnithe a shonrú:

ssh-add DIR_PATH/keylocation

Anois is féidir leat logáil isteach ar an bhfreastalaí faoin ainm úsáideora ag baint úsáide as an eochair seo:

ssh [username]@hostname

Tar éis údarú, is féidir leat an t-ordú scp a úsáid chun comhaid a chóipeáil, an fóntais sshfs chun córas comhaid nó eolairí a shuiteáil go cianda.

Tá sé inmholta roinnt cóipeanna cúltaca a dhéanamh den eochair phríobháideach, mar má dhíchumasaíonn tú fíordheimhniú pasfhocail agus má chailleann tú é, ní bheidh aon bhealach agat logáil isteach i do fhreastalaí féin ar chor ar bith.

Mar a luadh thuas, i SSH ní mór duit fíordheimhniú a dhíchumasú le haghaidh fréamh (ar an gcúis seo chruthaigh muid úsáideoir nua).

Ar CentOS/Red Hat aimsímid an líne PermitRootLogin yes sa chomhad cumraíochta /etc/ssh/sshd_config agus athraigh é:

PermitRootLogin no

Ar Ubuntu cuir an líne PermitRootLogin no chuig an gcomhad cumraíochta 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Tar éis a fhíorú go bhfuil an t-úsáideoir nua fíordheimhnithe ag baint úsáide as a n-eochair, is féidir leat fíordheimhniú focal faire a dhíchumasú chun deireadh a chur leis an mbaol sceitheadh ​​pasfhocail nó fórsa brute. Anois, chun rochtain a fháil ar an bhfreastalaí, beidh ar an ionsaitheoir an eochair phríobháideach a fháil.

Ar CentOS/Red Hat aimsímid an líne PasswordAuthentication yes sa chomhad cumraíochta /etc/ssh/sshd_config agus é a athrú mar seo a leanas:

PasswordAuthentication no

Ar Ubuntu cuir an líne PasswordAuthentication no a chomhdú 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Le haghaidh treoracha ar conas fíordheimhniú dhá-fhachtóir a chumasú trí SSH, féach anseo.

Balla dóiteáin

Cinntíonn an balla dóiteáin nach rachaidh ach trácht ar na calafoirt a cheadaíonn tú go díreach chuig an bhfreastalaí. Cosnaíonn sé seo i gcoinne shaothrú calafoirt atá cumasaithe de thaisme ag seirbhísí eile, rud a laghdaíonn go mór an dromchla ionsaí.

Sula ndéantar balla dóiteáin a shuiteáil, ní mór duit a chinntiú go bhfuil SSH san áireamh sa liosta eisiaimh agus nach gcuirfear bac air. Seachas sin, tar éis an balla dóiteáin a thosú, ní bheidh muid in ann ceangal leis an bhfreastalaí.

Tagann an dáileadh Ubuntu le Balla Dóiteáin Neamhchasta (WOW), agus le CentOS/Red Hat - firewalld.

SSH a cheadú sa bhalla dóiteáin ar Ubuntu:

sudo ufw allow ssh

Ar CentOS/Red Hat úsáidimid an t-ordú firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

Tar éis an nós imeachta seo, is féidir leat an balla dóiteáin a thosú.

Ar CentOS/Red Hat seolann muid an tseirbhís systemd le haghaidh balla dóiteáin:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Ar Ubuntu úsáidimid an t-ordú seo a leanas:

sudo ufw enable

Fail2Ban

TSeirbhís Fail2Ban déanann sé anailís ar logaí freastalaí agus comhaireamh líon na n-iarrachtaí rochtana ó gach seoladh IP. Sonraíonn na socruithe na rialacha maidir le cé mhéad iarracht rochtana a cheadaítear in eatramh áirithe - ina dhiaidh sin cuirtear bac ar an seoladh IP seo ar feadh tréimhse sonraithe ama. Mar shampla, ceadaímid 5 iarracht fíordheimhnithe nár éirigh leo trí SSH laistigh de thréimhse 2 uair an chloig, agus ina dhiaidh sin bacaimid an seoladh IP seo ar feadh 12 uair an chloig.

Suiteáil Fail2Ban ar CentOS agus Red Hat:

sudo yum install fail2ban

Suiteáil ar Ubuntu agus Debian:

sudo apt install fail2ban

Seoladh:

systemctl start fail2ban
systemctl enable fail2ban

Tá dhá chomhad cumraíochta ag an gclár: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. Sonraítear srianta toirmeasc sa dara comhad.

Tá Jail for SSH cumasaithe de réir réamhshocraithe le socruithe réamhshocraithe (5 iarracht, eatramh 10 nóiméad, toirmeasc ar feadh 10 nóiméad).

[DEFAULT] neamhairdcommand = bantime = 10m am aimsithe = 10m maxretry = 5

Chomh maith le SSH, is féidir le Fail2Ban seirbhísí eile a chosaint ar fhreastalaí gréasáin nginx nó Apache.

Nuashonruithe slándála uathoibríoch

Mar is eol duit, faightear leochaileachtaí nua i gcónaí i ngach clár. Tar éis an t-eolas a fhoilsiú, cuirtear leas le pacáistí saothraithe coitianta, a úsáideann hackers agus déagóirí go forleathan agus iad ag scanadh gach freastalaí i ndiaidh a chéile. Dá bhrí sin, tá sé an-tábhachtach nuashonruithe slándála a shuiteáil chomh luath agus a bhíonn siad ar fáil.

Tá nuashonruithe slándála uathoibríoch cumasaithe ag freastalaithe Ubuntu de réir réamhshocraithe, mar sin níl aon chéimeanna breise ag teastáil.

Ar CentOS/Red Hat ní mór duit an feidhmchlár a shuiteáil dnf-uathoibríoch agus cas ar an lasc ama:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

Seiceáil lasc ama:

sudo systemctl status dnf-automatic.timer

Na calafoirt réamhshocraithe a athrú

Forbraíodh SSH i 1995 chun telnet (port 23) agus ftp (port 21) a athsholáthar, mar sin is é Tatu Iltonen údar an chláir roghnaigh port 22 de réir réamhshocraithe, agus d'fhormheas IANA é.

Ar ndóigh, tá a fhios ag gach ionsaitheoir cén calafort atá á reáchtáil ag SSH - agus é a scanadh in éineacht le calafoirt chaighdeánacha eile chun an leagan bogearraí a fháil amach, chun pasfhocail fhréamh caighdeánach a sheiceáil, agus mar sin de.

Ag athrú calafoirt caighdeánach - obfuscation - laghdaítear an méid tráchta junk, méid na logaí agus an t-ualach ar an bhfreastalaí arís agus arís eile, agus laghdaítear an dromchla ionsaí freisin. Cé go bhfuil roinnt an modh seo “cosaint trí dhoiléire” a cháineadh (slándáil trí doiléire). Is é an chúis go bhfuil an teicníc seo i gcoinne an bunúsacha cosaint ailtireachta. Dá bhrí sin, mar shampla, an US Institiúid Náisiúnta um Chaighdeáin agus Teicneolaíochta "Treoir Slándála Freastalaí" léiríonn sé an gá atá le hailtireacht freastalaí oscailte: “Níor cheart go mbeadh slándáil córais ag brath ar rúndacht fheidhmiú a chomhpháirteanna,” a deir an doiciméad.

Go teoiriciúil, tá athrú na gcalafort réamhshocraithe contrártha le cleachtais ailtireachta oscailte. Ach go praiticiúil, laghdaítear an méid tráchta mailíseach i ndáiríre, mar sin is beart simplí agus éifeachtach é seo.

Is féidir uimhir an phoirt a chumrú tríd an treoir a athrú Port 22 sa chomhad cumraíochta / srl / ssh / sshd_config. Tá sé léirithe ag an bparaiméadar freisin -p <port> в sshd. SSH cliant agus cláir sftp tacú leis an bparaiméadar freisin -p <port>.

Paraiméadar -p <port> is féidir é a úsáid chun uimhir an phoirt a shonrú agus an t-ordú á nascadh ssh i Linux. IN sftp и scp úsáidtear paraiméadar -P <port> (caipiteal P). Má shonraítear é ón líne ordaithe sáraítear aon luach sna comhaid cumraíochta.

Má tá go leor freastalaithe ann, is féidir beagnach gach ceann de na gníomhartha seo chun freastalaí Linux a chosaint a uathoibriú i script. Ach mura bhfuil ach freastalaí amháin ann, is fearr an próiseas a rialú de láimh.

Ar Chearta Fógraíocht

Ordú agus tosú ag obair ar an bpointe boise! Cruthú VDS aon chumraíocht agus le haon chóras oibriúcháin laistigh de nóiméad. Tabharfaidh an chumraíocht uasta deis duit soinneáin a bheith agat - 128 cores CPU, 512 GB RAM, 4000 GB NVMe. Iontach eipiciúil :)

Foinse: will.com