Hodie, servo hospitatori sublato, agitur de duobus minutis et paucis muris clicks. Sed statim post launch, in hostili ambitu se invenit, quia toti interreti patens est sicut puella innocens in disco rock. Scanners celeriter eam invenies et mille automata scriptorum automatice deteges qui retiaculis vagantur quaerunt vulnerabilitates et misconfigurationes. Pauca sunt quae recte facere debeas post launch ut basic praesidio.
Primus gradus est usorem non radicum creare tibi. Punctum est quod user root privilegiis absolutis in systemate, et si remotam administrationem ei permiseris, dimidium operis pro piratica facias, validum nomen usoris ei relinquens.
Ergo debes alium usorem creare, et administratio remota per SSH radicem inactivare.
Novus usor incepit per mandatum useradd:
useradd [options] <username>
Tum tessera additur pro imperio passwd:
passwd <username>
Denique hic usor adiunendus est globi cui ius habet mandata sublimia exequendi sudo. Prout distributione Linux, hi diversi coetus esse possunt. Exempli gratia, in CentOS et Red Hat, usor globi additur wheel:
usermod -aG wheel <username>
In Ubuntu additur sodalitati sudo:
usermod -aG sudo <username>
Claves pro SSH passwords
Vim vel tesseram effluo violenta vexillum oppugnationis vectoris sunt, ergo optimum est ut tesseram authenticas in SSH inactivandi (Secure Testa) et pro clavibus authenticas utere.
Variae programmata sunt ad exsequendam protocollum SSH, ut lsh * ΠΈ dropbearsed in popularibus est OpenSSH. Installing the OpenSSH client on Ubuntu:
sudo apt install openssh-client
Servo institutionem:
sudo apt install openssh-server
Incipiens SSH daemonium (sshd) in Ubuntu servo:
sudo systemctl start sshd
Automatice incipit daemon in omni tabernus:
sudo systemctl enable sshd
Notandum est servientem partem OpenSSH partem clientis includere. Id est, per openssh-server aliis servientibus coniungere potes. Praeterea, ex machina clientis tui, cuniculum SSH a remoto servo ad tertiam partem hospitis incipere potes, et tunc tertia pars exercitus remotum ministratorem tamquam principium petitionum considerabit. A pluma habilis admodum ad systematis masking. Vide articulum pro details "Apicibus practicis, Exempla, et cuniculis SSH".
In machina clientis, plerumque nullum sensum facit ministratorem plenae armaturae instituere ut possibilitas remotae connexionis ad computatorium impediatur (rationes securitatis).
Ad novum ergo usorem tuum, primum debes generare SSH claves in computatro e quibus servo accesseris:
ssh-keygen -t rsa
Publica clavis in tabella reposita est .pub et similis filo temere ingenia quae incipit cum ssh-rsa.
Deinde, e radice subtus, indicem crea SSH in indicem domestici in utentis utentis et SSH clavem publicam tabella adde authorized_keys, adhibito textu tanquam Vim edito:
In latere clientis, locum clavis secreti authenticitatis denotare debes:
ssh-add DIR_PATH/keylocation
Nunc inire potes cum servo sub usoris hac clave utens:
ssh [username]@hostname
Post concessionem, scp mandatum est ut tabulas exscribas, utilitas sshfs * ut e longinquo conscendere lima ratio vel directoria.
Plura exemplaria tergum clavis privatim facere visum est, quia si authenticas tesseram disable et eam amittere, tunc nullo modo in servo tuo omnino stipes habebis.
Ut supra, in SSH debes disable authenticas radicem (haec est causa novum usorem incepimus).
On CentOS/Red Hat we find the line PermitRootLogin yes in aboutconfig file /etc/ssh/sshd_config et muta;
PermitRootLogin no
De Ubuntu adde lineam PermitRootLogin no ad aboutconfig file 10-my-sshd-settings.conf:
Postquam comprobans novus usor cum suis clavis authenticis reddit, authenticas tesserae inactivare potes ut periculum tesserae ultrices vel violentiae vis tollere possit. Nunc, ut servo accederem, oppugnator clavem privatam obtinere debebit.
On CentOS/Red Hat we find the line PasswordAuthentication yes in aboutconfig file /etc/ssh/sshd_config et muta sic;
PasswordAuthentication no
De Ubuntu adde lineam PasswordAuthentication no ut file 10-my-sshd-settings.conf:
Ad instructiones de qua duos factores authenticas per SSH, vide hic.
firewall
Firewall cavet ut solum negotiatio in portubus quos protinus sinis ibit ad ministratorem. Haec contra abusionem portuum tutatur, quae casualiter alia officia praestant, quae impetus superficiei valde minuuntur.
Priusquam incendium inauguraris, efficere debes ut SSH inclusa in indice exclusionis contineatur et non impediatur. Aliter, postquam firewall incepit, servo coniungere non poterimus.
Ubuntu distributio fit cum Uncomplicated Firewall (ufw) et CentOS/Red Hat - firewalld.
obsequium Fail2Ban acta analyses in calculonis servi et numerum accessuum inceptis inter IP electronica numerat. Praecepta uncinis denotant quot accessus conatus per aliquod intervallum conceditur - post quem haec IP oratio ad certum temporis spatium intercluditur. Exempli gratia, concedamus 5 conatus authenticas SSH defecit intra 2 horas, dein datam IP oratio per 12 horas obstruit.
Propositum habet duas files configurationis: /etc/fail2ban/fail2ban.conf ΠΈ /etc/fail2ban/jail.conf. Restrictiones banni in secundo tabulario specificatae sunt.
Vincula pro SSH est facultas per default occasus cum defectibus (5 conatibus, 10 minutis interpositis, pro 10 minutis interdicendi).
Praeter SSH, Fail2Ban alia officia in nginx vel Apache instrumenti interretialis tueri potest.
Automatic securitatem updates
Ut nostis, nova vulnerabilitates constanter in omnibus programmatis inveniuntur. Post indicio divulgato, res gestae ad sarcinas populares additae sunt, quae ab piraticis et adulescentibus massive utuntur cum omnes ministros in ordine perlustrant. Ideo magni momenti est updates ut primum apparent securitatem instituere.
Ubuntu Servo updates automatariae securitatis automatice per defaltam enabled habet, ideo nihil amplius opus est.
In CentOS/Red Hat debes ut install applicationis dnf-automatic et vertere in timor;
SSH anno 1995 evoluta est ut telnet reponere (port 23) et ftp (port 21) auctor progressionis, Tatu Iltonen. electus portum XXII per defaultac approbata IANA.
Naturaliter omnes oppugnatores sciunt quem portum SSH currit - et cum reliquis portibus vexillum ut invenias versionem programmalem, ad reprimendam tesseras radicis vexillum, et sic porro.
Vexillum portuum mutans obfuscationem - moles purgamentorum aliquoties minuit, magnitudinem lignorum et oneris ministrantis, et etiam superficiem oppugnationis minuit. Etsi quidam reprehendunt hanc rationem "per obscuritatem tutelam"; (Securitas per obscuritatem). Ratio est quia haec ars principalibus opponitur architecturae praesidium. Ergo, exempli gratia, US National Institutum signa et ars in "Servo Securitatis Guide" necessitatem indicat servientis apertae architecturae: "Securitas systematis secreto exsecutioni partium confidere debet", in documento dicit.
Theoretice, mutans defectum portus, contra praxim architecturae apertae est. Sed in usu, quantum malitiosorum mercantium reducitur actu, ita simplex et efficax mensura est.
Portus numerus configurari potest immutando directivum Port 22 in aboutconfig file / Etc / ssh / sshd_config. Indicatur etiam per modulum -p <port> Π² sshd. SSH client et programmata sftp et support optionem -p <port>.
parametri -p <port> potest esse specificare portum numero cum connectens cum imperio ssh in linux. IN' sftp ΠΈ scp parametri adhibetur -P <port> (caput P). Mandatum lineae instructionis aliquem valorem in lima configurationis vincit.
Si multi servientes sunt, omnes fere actiones ut servo Linux praesidio in scripto automated possunt. Sed si unus tantum est ministrator, melius est processus processus moderari.
ut vendo
Ilicet ordo et incipiat! De creatione VDS quavis configuratione et cum quavis operandi ratione intra minutum. Configuratio maxima permittet te ad plenissimam - 128 CPU coros, 512 GB RAM, 4000 GB NVMe. Epic