Habib M'henni/Wikimedia Commons, CC BY-SA

Hodie, servo hospitatori sublato, agitur de duobus minutis et paucis muris clicks. Sed statim post launch, in hostili ambitu se invenit, quia toti interreti patens est sicut puella innocens in disco rock. Scanners celeriter eam invenies et mille automata scriptorum automatice deteges qui retiaculis vagantur quaerunt vulnerabilitates et misconfigurationes. Pauca sunt quae recte facere debeas post launch ut basic praesidio.

contentus

• Non radix usuario
• Claves pro SSH passwords
• firewall
• Fail2Ban
• Automatic securitatem updates
• Mutantur default p

Non radix usuario

Primus gradus est usorem non radicum creare tibi. Punctum est quod user root privilegiis absolutis in systemate, et si remotam administrationem ei permiseris, dimidium operis pro piratica facias, validum nomen usoris ei relinquens.

Ergo debes alium usorem creare, et administratio remota per SSH radicem inactivare.

Novus usor incepit per mandatum useradd:

useradd [options] <username>

Tum tessera additur pro imperio passwd:

passwd <username>

Denique hic usor adiunendus est globi cui ius habet mandata sublimia exequendi sudo. Prout distributione Linux, hi diversi coetus esse possunt. Exempli gratia, in CentOS et Red Hat, usor globi additur wheel:

usermod -aG wheel <username>

In Ubuntu additur sodalitati sudo:

usermod -aG sudo <username>

Claves pro SSH passwords

Vim vel tesseram effluo violenta vexillum oppugnationis vectoris sunt, ergo optimum est ut tesseram authenticas in SSH inactivandi (Secure Testa) et pro clavibus authenticas utere.

Variae programmata sunt ad exsequendam protocollum SSH, ut lsh * и dropbearsed in popularibus est OpenSSH. Installing the OpenSSH client on Ubuntu:

sudo apt install openssh-client

Servo institutionem:

sudo apt install openssh-server

Incipiens SSH daemonium (sshd) in Ubuntu servo:

sudo systemctl start sshd

Automatice incipit daemon in omni tabernus:

sudo systemctl enable sshd

Notandum est servientem partem OpenSSH partem clientis includere. Id est, per openssh-server aliis servientibus coniungere potes. Praeterea, ex machina clientis tui, cuniculum SSH a remoto servo ad tertiam partem hospitis incipere potes, et tunc tertia pars exercitus remotum ministratorem tamquam principium petitionum considerabit. A pluma habilis admodum ad systematis masking. Vide articulum pro details "Apicibus practicis, Exempla, et cuniculis SSH".

In machina clientis, plerumque nullum sensum facit ministratorem plenae armaturae instituere ut possibilitas remotae connexionis ad computatorium impediatur (rationes securitatis).

Ad novum ergo usorem tuum, primum debes generare SSH claves in computatro e quibus servo accesseris:

ssh-keygen -t rsa

Publica clavis in tabella reposita est .pub et similis filo temere ingenia quae incipit cum ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

Deinde, e radice subtus, indicem crea SSH in indicem domestici in utentis utentis et SSH clavem publicam tabella adde authorized_keys, adhibito textu tanquam Vim edito:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

Denique rectas licentias tabella pone:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

et transmutatio possessionis ad hunc usum;

chown -R username:username /home/username/.ssh

In latere clientis, locum clavis secreti authenticitatis denotare debes:

ssh-add DIR_PATH/keylocation

Nunc inire potes cum servo sub usoris hac clave utens:

ssh [username]@hostname

Post concessionem, scp mandatum est ut tabulas exscribas, utilitas sshfs * ut e longinquo conscendere lima ratio vel directoria.

Plura exemplaria tergum clavis privatim facere visum est, quia si authenticas tesseram disable et eam amittere, tunc nullo modo in servo tuo omnino stipes habebis.

Ut supra, in SSH debes disable authenticas radicem (haec est causa novum usorem incepimus).

On CentOS/Red Hat we find the line PermitRootLogin yes in aboutconfig file /etc/ssh/sshd_config et muta;

PermitRootLogin no

De Ubuntu adde lineam PermitRootLogin no ad aboutconfig file 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Postquam comprobans novus usor cum suis clavis authenticis reddit, authenticas tesserae inactivare potes ut periculum tesserae ultrices vel violentiae vis tollere possit. Nunc, ut servo accederem, oppugnator clavem privatam obtinere debebit.

On CentOS/Red Hat we find the line PasswordAuthentication yes in aboutconfig file /etc/ssh/sshd_config et muta sic;

PasswordAuthentication no

De Ubuntu adde lineam PasswordAuthentication no ut file 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

Ad instructiones de qua duos factores authenticas per SSH, vide hic.

firewall

Firewall cavet ut solum negotiatio in portubus quos protinus sinis ibit ad ministratorem. Haec contra abusionem portuum tutatur, quae casualiter alia officia praestant, quae impetus superficiei valde minuuntur.

Priusquam incendium inauguraris, efficere debes ut SSH inclusa in indice exclusionis contineatur et non impediatur. Aliter, postquam firewall incepit, servo coniungere non poterimus.

Ubuntu distributio fit cum Uncomplicated Firewall (ufw) et CentOS/Red Hat - firewalld.

Permittens SSH in firewall in Ubuntu:

sudo ufw allow ssh

De CentOS / Rubrum Hat uti mandatum firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

Post hanc rationem, firewall incipere potes.

CentOS/Red Hat, systemd servitium pro firewalld incipere:

sudo systemctl start firewalld
sudo systemctl enable firewalld

De Ubuntu hoc praeceptum utimur;

sudo ufw enable

Fail2Ban

obsequium Fail2Ban acta analyses in calculonis servi et numerum accessuum inceptis inter IP electronica numerat. Praecepta uncinis denotant quot accessus conatus per aliquod intervallum conceditur - post quem haec IP oratio ad certum temporis spatium intercluditur. Exempli gratia, concedamus 5 conatus authenticas SSH defecit intra 2 horas, dein datam IP oratio per 12 horas obstruit.

Installing Fail2Ban in CentOS et Rubrum Hat:

sudo yum install fail2ban

Institutionem in Ubuntu et Debian:

sudo apt install fail2ban

Lorem:

systemctl start fail2ban
systemctl enable fail2ban

Propositum habet duas files configurationis: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. Restrictiones banni in secundo tabulario specificatae sunt.

Vincula pro SSH est facultas per default occasus cum defectibus (5 conatibus, 10 minutis interpositis, pro 10 minutis interdicendi).

[DEFAULT] ignore=bantime=10m findtime=10m maxretry=5

Praeter SSH, Fail2Ban alia officia in nginx vel Apache instrumenti interretialis tueri potest.

Automatic securitatem updates

Ut nostis, nova vulnerabilitates constanter in omnibus programmatis inveniuntur. Post indicio divulgato, res gestae ad sarcinas populares additae sunt, quae ab piraticis et adulescentibus massive utuntur cum omnes ministros in ordine perlustrant. Ideo magni momenti est updates ut primum apparent securitatem instituere.

Ubuntu Servo updates automatariae securitatis automatice per defaltam enabled habet, ideo nihil amplius opus est.

In CentOS/Red Hat debes ut install applicationis dnf-automatic et vertere in timor;

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

Timor reprehendo:

sudo systemctl status dnf-automatic.timer

Mutantur default p

SSH anno 1995 evoluta est ut telnet reponere (port 23) et ftp (port 21) auctor progressionis, Tatu Iltonen. electus portum XXII per defaultac approbata IANA.

Naturaliter omnes oppugnatores sciunt quem portum SSH currit - et cum reliquis portibus vexillum ut invenias versionem programmalem, ad reprimendam tesseras radicis vexillum, et sic porro.

Vexillum portuum mutans obfuscationem - moles purgamentorum aliquoties minuit, magnitudinem lignorum et oneris ministrantis, et etiam superficiem oppugnationis minuit. Etsi quidam reprehendunt hanc rationem "per obscuritatem tutelam"; (Securitas per obscuritatem). Ratio est quia haec ars principalibus opponitur architecturae praesidium. Ergo, exempli gratia, US National Institutum signa et ars in "Servo Securitatis Guide" necessitatem indicat servientis apertae architecturae: "Securitas systematis secreto exsecutioni partium confidere debet", in documento dicit.

Theoretice, mutans defectum portus, contra praxim architecturae apertae est. Sed in usu, quantum malitiosorum mercantium reducitur actu, ita simplex et efficax mensura est.

Portus numerus configurari potest immutando directivum Port 22 in aboutconfig file / Etc / ssh / sshd_config. Indicatur etiam per modulum -p <port> в sshd. SSH client et programmata sftp et support optionem -p <port>.

parametri -p <port> potest esse specificare portum numero cum connectens cum imperio ssh in linux. IN' sftp и scp parametri adhibetur -P <port> (caput P). Mandatum lineae instructionis aliquem valorem in lima configurationis vincit.

Si multi servientes sunt, omnes fere actiones ut servo Linux praesidio in scripto automated possunt. Sed si unus tantum est ministrator, melius est processus processus moderari.

ut vendo

Ilicet ordo et incipiat! De creatione VDS quavis configuratione et cum quavis operandi ratione intra minutum. Configuratio maxima permittet te ad plenissimam - 128 CPU coros, 512 GB RAM, 4000 GB NVMe. Epic

Source: www.habr.com