Как я защищаю свой доступ SSH?

Question 1

Таким образом, у меня есть VPS, и я понятия не имею, как администрировать его. Я понимаю, что одна из первых вещей сделать защитить его, и первый конкретный шаг в том направлении, которое я нашел до сих пор, находится в комментарии moshen:

Also, you should secure your SSH access as soon as possible. I recommend changing the default port, using key-based authentication and disabling password authentication and root logins (basically create a standard user account for you to log in with)

До сих пор все, что я знаю, как сделать, использовать веб-интерфейс моего поставщика VPS для открытия консоли с корневым доступом. Таким образом, как я следую совету moshen?

Question 2

, Таким образом, у меня есть VPS, и я понятия не имею, как администрировать его.

Это - единственный самый большой аргумент в пользу управляемого хостинга, который я когда-либо видел. Взломанные серверы ответственны за значительную часть ерунды, которая делает Интернет плохим местом. Хостинг страниц фишинга, распространение вредоносного программного обеспечения. , Если Вы собираетесь сделать это, я надеюсь, что Вы делаете это правильно.

, Чтобы дать Вам своего рода идею долгосрочного обязательства, я прочитал это: , Что Может быть Сделано Для Обеспечения Сервера Ubuntu? существуют другие вопросы как он на сайте (десятки) с хорошими ответами, но у этого есть некоторые хорошие обширные ответы.

Для SSH, я был по всем ним в подробной форме на моем блоге , но ключевые пункты:

Перемещение это к другому порту. Что-то высоко, в этих 10 000-60 000 диапазонах.
Установка fail2ban.
Использование основанная на ключе аутентификация.
Отключают аутентификацию по паролю.
Отключают корневой вход в систему (удостоверьтесь, что Ваш пользователь находится в группе admin).
Удостоверяются, что у Вашего пользователя нет отгадываемого имени (например, администратор).

Просто перемещение порта отклонит 99,99% от попыток взламывания на автомобиле. fail2ban будет мешать любым грубым попыткам быть жизнеспособным. Принуждение основанного на ключе автора означает количество предположений, которые взял бы скот, находится теперь в диапазоне миллиардов миллиардов. Отключение корневого входа в систему и наличие более трудного к предположению имени пользователя означают, что у них даже нет имени пользователя, с которого можно запустить bruting: они имеют скоту для имени пользователя, прежде чем они даже доберутся до элемента пароля.

Это приводит к довольно безопасному серверу SSH. Должно было бы быть довольно ужасающее использование в нем, чтобы люди прошли через него... Но не помещайте все свое внимание на создание двери, максимально непроницаемой и затем игнорирование открытого окна.

веб-приложения (всех динамических языков) hackable. При использовании сценариев с открытым исходным кодом необходимо сохранить сверх их обновлений.
брандмауэр А должен останавливать людей, добирающихся до сервисов, которые не должны быть подвергнуты Интернету (MySQL, например).
В других отношениях безопасные сервисы впустят людей право, если Вы не примените патчи к ним (и перезапустите их после исправления).

Question 3

Question 4

Для запуска, что на самом деле только необходимо сделать, добавляет пользователь путем ввода:

adduser username
usermod -a -G sudo username

после предоставления пароля и других данных, в которые можно войти в сервер как пользователь, использующий ssħ username@yourserverip. Можно все еще выполнить корневые команды с помощью sudo для напр.

sudo apt-get install something

я рекомендую делать пароль root сильной командой использования:

passwd

... как корень, который выпустит изменение пароля.

нет никакой потребности изменить ssh порт, если у Вас есть сильные пароли, ssh достаточно безопасен, и нормально полностью выполнять его на порте по умолчанию. Ssh будет последней вещью, которую взломают хакеры, если это имело бы место.

Question 5

Изменить sshd открытые настройки /etc/ssh/sshd_config файл изменения файла, как Вам нужно. Для изменения порта ищут форт Port 22 строка и изменение 22 к другому значению, например, 4530.

Таким образом, когда Вы соединяетесь со своим сервером через ssh, необходимо использовать ssh user@host -p 4530

Отключите корневое изменение входа в систему PermitRootLogin yes кому: PermitRootLogin no

Большую часть времени основанная на ключе аутентификация включена по умолчанию, но удостоверьтесь, что она включена PubkeyAuthentication yes.

Прежде, чем отключить аутентификацию по паролю создают ssh ключ для Вас использование ssh-keygen если Вы не имеете прежде и добавляете его к своей учетной записи пользователя VPS. обычно ~/.ssh/authorized_keys

Сначала проверьте, что Ваша keybased аутентификация работает, и затем отключите аутентификацию по паролю - PasswordAuthentication yes

Затем установите инструмент как denyhosts к дюйм/с блока от доступа sshd.

Community · Answer 1 · 2 December 2019 в 01:49

, Таким образом, у меня есть VPS, и я понятия не имею, как администрировать его.

Это - единственный самый большой аргумент в пользу управляемого хостинга, который я когда-либо видел. Взломанные серверы ответственны за значительную часть ерунды, которая делает Интернет плохим местом. Хостинг страниц фишинга, распространение вредоносного программного обеспечения. , Если Вы собираетесь сделать это, я надеюсь, что Вы делаете это правильно.

, Чтобы дать Вам своего рода идею долгосрочного обязательства, я прочитал это: , Что Может быть Сделано Для Обеспечения Сервера Ubuntu? существуют другие вопросы как он на сайте (десятки) с хорошими ответами, но у этого есть некоторые хорошие обширные ответы.

Для SSH, я был по всем ним в подробной форме на моем блоге , но ключевые пункты:

Перемещение это к другому порту. Что-то высоко, в этих 10 000-60 000 диапазонах.
Установка fail2ban.
Использование основанная на ключе аутентификация.
Отключают аутентификацию по паролю.
Отключают корневой вход в систему (удостоверьтесь, что Ваш пользователь находится в группе admin).
Удостоверяются, что у Вашего пользователя нет отгадываемого имени (например, администратор).

Просто перемещение порта отклонит 99,99% от попыток взламывания на автомобиле. fail2ban будет мешать любым грубым попыткам быть жизнеспособным. Принуждение основанного на ключе автора означает количество предположений, которые взял бы скот, находится теперь в диапазоне миллиардов миллиардов. Отключение корневого входа в систему и наличие более трудного к предположению имени пользователя означают, что у них даже нет имени пользователя, с которого можно запустить bruting: они имеют скоту для имени пользователя, прежде чем они даже доберутся до элемента пароля.

Это приводит к довольно безопасному серверу SSH. Должно было бы быть довольно ужасающее использование в нем, чтобы люди прошли через него... Но не помещайте все свое внимание на создание двери, максимально непроницаемой и затем игнорирование открытого окна.

веб-приложения (всех динамических языков) hackable. При использовании сценариев с открытым исходным кодом необходимо сохранить сверх их обновлений.
брандмауэр А должен останавливать людей, добирающихся до сервисов, которые не должны быть подвергнуты Интернету (MySQL, например).
В других отношениях безопасные сервисы впустят людей право, если Вы не примените патчи к ним (и перезапустите их после исправления).

offlinehacker · Answer 2 · 2 December 2019 в 01:49

Для запуска, что на самом деле только необходимо сделать, добавляет пользователь путем ввода:

adduser username
usermod -a -G sudo username

после предоставления пароля и других данных, в которые можно войти в сервер как пользователь, использующий ssħ username@yourserverip. Можно все еще выполнить корневые команды с помощью sudo для напр.

sudo apt-get install something

я рекомендую делать пароль root сильной командой использования:

passwd

... как корень, который выпустит изменение пароля.

нет никакой потребности изменить ssh порт, если у Вас есть сильные пароли, ssh достаточно безопасен, и нормально полностью выполнять его на порте по умолчанию. Ssh будет последней вещью, которую взломают хакеры, если это имело бы место.

Manula Waidyanatha · Answer 3 · 2 December 2019 в 01:49

Изменить sshd открытые настройки /etc/ssh/sshd_config файл изменения файла, как Вам нужно. Для изменения порта ищут форт Port 22 строка и изменение 22 к другому значению, например, 4530.

Таким образом, когда Вы соединяетесь со своим сервером через ssh, необходимо использовать ssh user@host -p 4530

Отключите корневое изменение входа в систему PermitRootLogin yes кому: PermitRootLogin no

Большую часть времени основанная на ключе аутентификация включена по умолчанию, но удостоверьтесь, что она включена PubkeyAuthentication yes.

Прежде, чем отключить аутентификацию по паролю создают ssh ключ для Вас использование ssh-keygen если Вы не имеете прежде и добавляете его к своей учетной записи пользователя VPS. обычно ~/.ssh/authorized_keys

Сначала проверьте, что Ваша keybased аутентификация работает, и затем отключите аутентификацию по паролю - PasswordAuthentication yes

Затем установите инструмент как denyhosts к дюйм/с блока от доступа sshd.

Как я защищаю свой доступ SSH?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: