Srebrenik.NET / Tehnologija / Info Vijesti / 5 načina kako poboljšati sigurnost ssh servera

5 načina kako poboljšati sigurnost ssh servera

Ako imate pristup unix (root) serveru u većini slučajeva koristite ssh za pristup/login na server.

Prvo i osnovno pravilo je da korisnik nesmije biti zauvijek logiran na server. SSH ima mogućnost da korisnika
“izbaci” sa servera ako je korisnik inaktivan odredjeno vrijeme. Ova opcija se podesava, kao i većina globalnih
opcija u /etc/ssh/sshd_config konfig fajlu.

Jednostavno ukucajte:

[email protected]:~$ vi /etc/ssh/sshd_config

Pronađite varijablu ClientAliveInterval i podesite istu na 300 sekundi (5 minuta) ovako:

ClientAliveInterval 300
ClientAliveCountMax 0

Snimite fajl (u vi editoru vam je to kombinacija esc dvotacka wq, ali ako to ne poznajete preporučujem vi tutorial, pa onda se vratiti na ovaj tekst). Sada restartujte ssh. Na debian sistemima trebate uraditi:

[email protected]:~$ /etc/init.d/sshd restart

Druga stvar je da zabranite pristup serveru kao korisnik root. Lično mislim da je ovaj savjet bio relevantan
u vrijeme kada nismo koristili ssh za pristup serverima, pa smo bili izloženi snifferima koji su mogli da presretnu nesigurnu “telnet” komunikaciju, ali neka, za neiskusne administratore je bolje da ga poslušaju.

Da biste zabranili korisniku root da se prijavi na sistem podesite ssh config fajl tako što će opcija PermitRootLogin biti postavljena na no:

PermitRootLogin no

Naravno, koristite samo ssh protokol u verziji 2, ssh protokol verzija 1 ne bi trebalo da se koristi nigdje.

Znači, u ssh konfig fajlu podesimo

Protocol 2

Ako imate dosta korisnika na serveru, zašto svakom od njih dati ssh pristup. Web korisnici, ako je web server
u pitanju mogu mijenjati svoje fajlove i preko CMS sistema ili preko ftp-a.

Četvrti savjet je da dozvolite pristup samo onim korisnicima koji imaju dobar razlog da pristupe serveru putem ssh protokola.

Ako želite da dozvolite da haso, huso i root pristupaju preko ssh protokola serveru dodajte u ssh konfig fajl:

AllowUsers root haso huso

I peti savjet je da koristite jake lozinke za pristup serveru.

Evo jednostavne bash funkcije koja će pri svakom pozivu generirati jake lozinke. Jednostavno dodajte u vaš ~/.bashrc.

passwdgen() {
local l=$1
[ “$l” == “” ] && l=20
tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs } Možete pozvati ovaj generator lozinki sa argumentom. Argument je dužina lozinke koju želite da se generiše. [email protected]:~$ passwdgen 10 qRf92k7C3W [email protected]:~$ passwdgen 5 RRNhb [email protected]:~$ passwdgen 8 TLDtqJ1p

Ostavi komentar