Каков наилучший способ защитить мой сервер EC2 в отношении SSH?

У меня есть экземпляр Amazon ec2, и мне было любопытно, стоит ли мне менять имя пользователя (по умолчанию ubuntu) или нет?

Поскольку вам нужен открытый ключ SSH для доступа к серверу Я не думаю, что вы делаете, но факт остается фактом - я должен изменить имя пользователя для этого сервера?

4
задан 13 September 2012 в 04:57

2 ответа

Если вы не отключили аутентификацию пользователя / пароля на своем сервере, я бы предложил изменить ее. С точки зрения безопасности наличие одного компонента аутентификации сделает это проще.

Настройка аутентификации по ключу SSH

User@Host:~$ ssh-keygen -t rsa -b 4096

после генерации ключа вы должны сделать следующее:

User@Host:~$ ssh-copy-id <username>@<host>

Затем вы захотите убедиться, что ключ работает перед отключением аутентификации по паролю.

User@Host:~$ ssh <username>@<host>

Вам будет предложено ввести пароль, который вы установили при создании ключа. Если вы подключены к серверу, вы можете отключить аутентификацию по паролю.

измените ваш /etc/ssh/sshd_config, изменив следующую строку:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

После этого вы хотите перезагрузить сервер SSH

User@Host:~$ /etc/init.d/ssh reload
0
ответ дан 13 September 2012 в 04:57

Как упоминалось ранее, переход от «по умолчанию» почти всегда является хорошей идеей с точки зрения безопасности. Изменение вашего имени пользователя с Ubuntu на другое может предотвратить несанкционированный доступ. Однако каждая система имеет учетную запись «root», и, например, вы можете предоставить другие меры безопасности для вашей машины / пользователей.

  1. Убедитесь, что root-вход отключен.
  2. Запретите ввод пароля паролем для пользователей вашего компьютера. (Это особенно важно в случае, когда ваше целевое имя пользователя известно)
  3. Установите средство для запрета попыток входа в систему методом грубой силы ( fail2ban - хороший вариант)
  4. Измените номер порта вашего сервера.
  5. Белый список лучше, чем черный список. Если вы можете указать вашему SSH-серверу, какие IP-адреса разрешены для подключения, вы можете значительно снизить количество атак. (Это может быть сложным и вызвать проблемы в будущем, поэтому читайте и будьте готовы, если вы зайдете так далеко)
0
ответ дан 13 September 2012 в 04:57

Другие вопросы по тегам:

Похожие вопросы: