Par SSH un drošību
Šis ir svarīgi!!!
Sākšu ar morāli - SSH konfigurācijā (sshd_config) failā ir vēlams ielikt AllowUsers parametru un norādīt tos lietotājus, kam tiks ļauts pieslēgties pa SSH.
Piemēram šādi:
Kāpēc šo visu rakstu? Tāpēc, ka šodien kādā svešā serverī kārtējo reizi pamanīju vienu reālu drošības problēmu Linux serveros. Proti visādi random / testa lietotāji, kurus noķer ļaunie portu skanētāji.
Skanēt portus un mēģināt ielogoties visos serveros pēc kārtas ar vienkāršiem lietotājiem un viegli uzminamām parolēm nav nekas sarežģīts un to internetā dara daudzi. Rezultātā veidojas aptuveni šāds scenārijs - ja jūs esat paredzējuši, ka jums būs administratora lietotājs 'admin' un saimnieka lietotājs 'saimnieks', kas slēgsies pa ssh, bet vēlāk izdomājat patestēt piemēram ftp vai kādu citu lietu / skriptu un izveidojat lietotāju 'test' ar paroli test, lietotāju 'user' ar paroli user vai piemēram lietotāju 'drupal', 'ruby' vai 'web' ar vienkāršām parolēm. Ja ssh konfigurācijā nav ierobežots atļauto lietotāju skaits, visi sistēmas lietotāji var pieslēgties serverim pa ssh, pat ja jūs tā neesat plānojis. Rezultātā var redzēt, ka sistēma strādā ar 100% slodzi, ko rada lietotājs 'test', kas darbina procesu 'portscan2', 'send-spam' vai ko līdzīgu.
Ļaunajiem serveri nogāzt / salauzt un / vai zagt jūsu datus nav iespējams vai nav interesanti, bet jūsu serveris var kļūt par zombiju svešā ļaunuma impērijā.
Novērst šo nav grūti un jēga ir liela, problēmu reālā dzīvē esmu redzējis kādas reizes trīs.
AllowUsers @ sshd_config ;)
Sākšu ar morāli - SSH konfigurācijā (sshd_config) failā ir vēlams ielikt AllowUsers parametru un norādīt tos lietotājus, kam tiks ļauts pieslēgties pa SSH.
Piemēram šādi:
AllowUsers admin saimnieks
Kāpēc šo visu rakstu? Tāpēc, ka šodien kādā svešā serverī kārtējo reizi pamanīju vienu reālu drošības problēmu Linux serveros. Proti visādi random / testa lietotāji, kurus noķer ļaunie portu skanētāji.
Skanēt portus un mēģināt ielogoties visos serveros pēc kārtas ar vienkāršiem lietotājiem un viegli uzminamām parolēm nav nekas sarežģīts un to internetā dara daudzi. Rezultātā veidojas aptuveni šāds scenārijs - ja jūs esat paredzējuši, ka jums būs administratora lietotājs 'admin' un saimnieka lietotājs 'saimnieks', kas slēgsies pa ssh, bet vēlāk izdomājat patestēt piemēram ftp vai kādu citu lietu / skriptu un izveidojat lietotāju 'test' ar paroli test, lietotāju 'user' ar paroli user vai piemēram lietotāju 'drupal', 'ruby' vai 'web' ar vienkāršām parolēm. Ja ssh konfigurācijā nav ierobežots atļauto lietotāju skaits, visi sistēmas lietotāji var pieslēgties serverim pa ssh, pat ja jūs tā neesat plānojis. Rezultātā var redzēt, ka sistēma strādā ar 100% slodzi, ko rada lietotājs 'test', kas darbina procesu 'portscan2', 'send-spam' vai ko līdzīgu.
Ļaunajiem serveri nogāzt / salauzt un / vai zagt jūsu datus nav iespējams vai nav interesanti, bet jūsu serveris var kļūt par zombiju svešā ļaunuma impērijā.
Novērst šo nav grūti un jēga ir liela, problēmu reālā dzīvē esmu redzējis kādas reizes trīs.
AllowUsers @ sshd_config ;)
Komentāri
PubkeyAuthentication yes
PasswordAuthentication no
--visi paroļu minētāji paliks ar garu degunu
usermod -s /bin/false username
tādejādi liedzot accesu pie shell