Ihned po nainstalování ssh serveru bude nějakým způsobem nakonfigurován. Každý by si ale po vlastní instalaci „prověřit“ toto nastavení, zda mu vyhovuje a splňuje jeho požadavky.
Instalace na distribucích založených na Debianu.
sudo apt-get install openssh-server
Základní konfigurační soubor pro openssh server je /etc/ssh/sshd_config. Jedna z prvních položek, které stojí za zvážení je přesunutí ssh serveru z portu 22 na některý nestandartní port. Díky této relativně jednoduché úpravě je možné zbavit se velkého množství automatických pokusů o získání přístupu. Ke změně portu slouží konfigurační položka
Port 22
Většina automatických útoků je podobná v tom, že se pokouší přistoupit na standartní port se standartním uživatelským jménem a heslem, případně bez hesla. V žádném případě není dobré mít uživatelské jméno admin a k němu heslo admin. Toto je pravděpodobně největší slabina v zabezpečení dnešní doby. Ani sebelepší administrátor nedokáže uživatele přinutit k tomu, aby používal silná hesla.
V případě, že není vyžadováno přihlašování pomocí uživatelského jména/hesla, je vždy lepší toto zakázat a namísto toho povolit pouze přihlašování pomocí klíče. Nejdříve je potřeba zakázat přihlašování pomocí hesla.
PasswordAuthentication no
Potom je nutné zkontrolovat/ověřit, že je povolená podpora pro přihlašování pomocí klíčů.
RSAAuthentication yes PubkeyAuthentication yes
Takovýto druh zabezpečení se pak opírá o vlastní zabezpečení každého z účastníků. Pro útočníka je snazší získat klíč od běžného uživatele, než se pokoušet klíč uhádnout.
V případě, že je nutné zachovat přihlašování pomocí dvojice uživatelské jméno/heslo je naprosto nezbytným minimem zaručit následující. Zakázat přihlášení účtů bez hesla.
PermitEmptyPasswords no
Zakázat přímé přihlášení uživatele root přes ssh spojení
PermitRootLogin no
K tomu, aby se projevily změny v nastavení je nutné vyrestartovat ssh server
sudo service ssh reload
Z hlediska zabezpečení se jedná o naprosté minimum, které by měl provést každý, kdo vystaví svůj počítač do sítě. Příště bych chtěl napsat o tom, jak se klíče generují, používají a co za mini stojí „matematicky“