Используйте ключи SSH вместо паролей для аутентификации. Генерация пары ключей и их последующая установка на сервер обеспечивает более высокий уровень защиты, чем простая проверка паролем. Это предотвращает попытки взлома через подбор паролей и автоматизированные атаки.
Отключите вход под учетной записью root по SSH. Настройте отдельного пользователя с минимальными правами и добавьте его в нужные группы. Такой подход ограничит потенциальные последствия в случае компрометации учетной записи, а также повысит уровень безопасности.
Настройте файрволл и ограничения доступа. Разрешайте соединения только с доверенных IP-адресов или диапазонов. Используйте инструменты вроде ufw или iptables, чтобы заблокировать нежелательные попытки доступа и снизить риск несанкционированных подключений.
Обновляйте SSH-сервер и сторонние компоненты. Регулярные обновления устраняют уязвимости и позволяют использовать последние улучшения протокола. Следите за выпуском новых версий и применяйте их без задержек.
Создание и использование парных ключей для аутентификации
Чтобы повысить безопасность SSH-доступа, следует создать пару ключей: приватный и публичный. Начинайте с команды ssh-keygen на локальной машине. Во время процесса укажите место сохранения ключей и задайте надежный пароль для защиты приватного ключа. Обычно ключи сохраняются в папке ~/.ssh/ под именами id_rsa и id_rsa.pub.
После завершения генерации выполните команду ssh-copy-id, чтобы скопировать публичный ключ на сервер. Например, используйте ssh-copy-id user@server. Это добавит содержимое файла id_rsa.pub в файл ~/.ssh/authorized_keys на сервере, обеспечивая автоматическую аутентификацию без пароля при использовании приватного ключа.
Для подключения с помощью созданных ключей укажите приватный ключ в команде SSH, например: ssh -i ~/.ssh/id_rsa user@server. Можно настроить автоматическую загрузку ключа при помощи SSH-агента, выполнив команду ssh-add ~/.ssh/id_rsa. Это упростит повторные подключения без необходимости указывать путь к ключу каждый раз.
Обязательно храните приватный ключ в безопасном месте и не передавайте его третьим лицам. Регулярно проверяйте и обновляйте ключи, удаляя устаревшие и создавая новые для повышения уровня защиты соединений. Используйте сложные пароли для защиты приватных ключей, чтобы дополнительно снизить риск несанкционированного доступа в случае компрометации файла.
Настройка конфигурации SSH для ограничения доступа и повышения защиты
Ограничьте доступ к серверу, отключив вход под учетными записями root. В файле sshd_config установите параметр PermitRootLogin no. Это исключит возможность входа с правами администратора по паролю и снизит риск несанкционированного доступа.
Включите использование только ключевой аутентификации, отключив аутентификацию по паролю. В конфигурационном файле настройте PasswordAuthentication no. После этого для входа потребуется корректная пара ключей, что значительно повышает безопасность.
Ограничьте доступ к SSH, разрешая подключения только с определенных IP-адресов или диапазонов. В разделе sshd_config используйте директиву AllowUsers или AllowGroups, указав конкретных пользователей или группы, которым разрешён вход. Также можно настроить файл hosts.allow и hosts.deny.
Настройте таймауты и ограничения по количеству попыток входа. В файле sshd_config установите параметры LoginGraceTime и MaxAuthTries. Например, уменьшите время ожидания перед блокировкой и ограничьте число неудачных попыток, чтобы затруднить взлом с помощью перебора паролей.
Используйте двухфакторную аутентификацию для SSH. Для этого установите соответствующие расширения или инструменты (например, Google Authenticator) и настройте их так, чтобы при входе требовался второй фактор подтверждения. Это значительно усложнит проникновение в систему, даже при наличии действующих ключей.
Регулярно обновляйте программное обеспечение SSH и проверяйте логи на подозрительную активность. Настройте автоматические уведомления о неудачных попытках входа и поддерживайте конфигурацию актуальной, чтобы минимизировать риски эксплуатации уязвимостей.
Обеспечение безопасности сервера с помощью ограничений по IP и файрволлов
Настройте файрволл для блокировки всех входящих соединений по умолчанию и разрешите доступ только с доверенных IP-адресов. Это значительно уменьшит риск несанкционированного доступа к серверу.
Используйте инструменты, такие как iptables или firewalld, для точной настройки правил фильтрации трафика. Например, добавьте правило, разрешающее соединения только с конкретных IP-адресов или подсетей, используемых в вашей организации.
Для автоматизации и удобства мониторинга ограничений можно использовать системы управления правилами, например, Fail2Ban, которая не только блокирует подозрительный трафик, но и позволяет быстро обновлять список разрешенных адресов.
Регулярно обновляйте список доверенных IP-адресов и проверяйте журналы событий, чтобы своевременно обнаруживать и реагировать на попытки несанкционированного доступа.
Рассмотрите возможность использования VPN для подключения к серверу. В этом случае доступ по SSH будет разрешен только с IP-адреса VPN-сервера, что дополнительно сократит поверхность атаки.
Настройка правил и ограничений по IP помогает не только снизить вероятность автоматизированных атак, но и повысить контроль над тем, кто может подключаться к вашему серверу, создавая более безопасную среду для работы.
Обновление SSH и применение дополнительных мер защиты при подключении
Обеспечьте регулярное обновление SSH-сервера до актуальных версий, чтобы устранить известные уязвимости и повысить безопасность системы. Используйте пакетные менеджеры, такие как apt или yum, для автоматической установки обновлений, и отслеживайте релизы разработчиков.
Настройте автоматические проверки наличия новых версий SSH и интегрируйте их в процессы обеспечения безопасности. Для этого можно использовать инструменты типа unattended-upgrades или совместные скрипты обновлений.
Улучшите безопасность, отключив устаревшие протоколы и алгоритмы шифрования. В файле конфигурации sshd_config запретите использование протокола SSHv1, включите только SSHv2, и укажите сильные алгоритмы:
Protocol 2
Ciphers aes256-gcm@openssh.com,aes256-ctr
MACs hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Используйте инструменты автоматического тестирования безопасности, такие как Lynis или OpenVAS, чтобы выявлять потенциальные уязвимости и получать рекомендации по их устранению.
Рассмотрите внедрение защитных решений на уровне сети, например, облачные VPN или туннели, которые добавляют дополнительный слой шифрования и фильтрации трафика. Также активируйте ограничение по времени сессий и установите тайм-ауты для неактивных подключений, чтобы снизить риск долгого открытого доступа.
Интегрируйте двухфакторную аутентификацию для SSH-подключений, используя инструменты типа Google Authenticator или Yubikey. Такой подход значительно усложняет несанкционированный доступ даже при компрометации пароля или ключа.
Регулярно проверяйте журналы событий SSH, чтобы своевременно обнаружить попытки несанкционированного доступа или аномальную активность. Подключите системы автоматического оповещения, чтобы быстро реагировать на подозрительные действия.
Настройка и использование SSH (Secure Shell) для доступа к одноплатному компьютеру Raspberry Pi
Настройка и использование SSH (Secure Shell) для доступа к одноплатному компьютеру Raspberry Pi 5 minutes, 19 seconds
