Základní zabezpečení ssh serveru

Ihned po nainstalování ssh serveru bude nějakým způsobem nakonfigurován. Každý by si ale po vlastní instalaci „prověřit“ toto nastavení, zda mu vyhovuje a splňuje jeho požadavky.

Instalace na distribucích založených na Debianu.

Základní konfigurační soubor pro openssh server je /etc/ssh/sshd_config. Jedna z prvních položek, které stojí za zvážení je přesunutí ssh serveru z portu 22 na některý nestandartní port. Díky této relativně jednoduché úpravě je možné zbavit se velkého množství automatických pokusů o získání přístupu. Ke změně portu slouží konfigurační položka

Většina automatických útoků je podobná v tom, že se pokouší přistoupit na standartní port se standartním uživatelským jménem a heslem, případně bez hesla. V žádném případě není dobré mít uživatelské jméno admin a k němu heslo admin. Toto je pravděpodobně největší slabina v zabezpečení dnešní doby. Ani sebelepší administrátor nedokáže uživatele přinutit k tomu, aby používal silná hesla.

V případě, že není vyžadováno přihlašování pomocí uživatelského jména/hesla, je vždy lepší toto zakázat a namísto toho povolit pouze přihlašování pomocí klíče. Nejdříve je potřeba zakázat přihlašování pomocí hesla.

Potom je nutné zkontrolovat/ověřit, že je povolená podpora pro přihlašování pomocí klíčů.

Takovýto druh zabezpečení se pak opírá o vlastní zabezpečení každého z účastníků. Pro útočníka je snazší získat klíč od běžného uživatele, než se pokoušet klíč uhádnout.

V případě, že je nutné zachovat přihlašování pomocí dvojice uživatelské jméno/heslo je naprosto nezbytným minimem zaručit následující. Zakázat přihlášení účtů bez hesla.

Zakázat přímé přihlášení uživatele root přes ssh spojení

K tomu, aby se projevily změny v nastavení je nutné vyrestartovat ssh server

Z hlediska zabezpečení se jedná o naprosté minimum, které by měl provést každý, kdo vystaví svůj počítač do sítě. Příště bych chtěl napsat o tom, jak se klíče generují, používají a co za mini stojí „matematicky“

Mohlo by se vám líbit...

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *