Настройка SSH Centos 7

загрузка...

Порой появляется потребность установить и настроить сервер Centos, работающий по SSH протоколу. Цели бывают самые разные: от создания веб-сервера до серверного мониторинга. Но при этом настройка и установка сервера Centos всегда происходит примерно одинаково. Потому в данной статье вы найдете универсальные решения для вашего запроса, и сможете использовать описанные советы для разных ситуаций, когда нужно сгенерировать SSH сервер.

Настройка самого сервера Centos — стандартные шаги

Какой бы вы не установили сервер, вам в любом случае нужно будет выполнить ряд стандартных настроек, чтобы установка прошла успешно. Во-первых, вам нужно позаботиться о том, чтобы на сервере была верно указана дата, и чтобы она автоматически обновлялась при переходе на летнее или зимнее время. После этого можете подготовить сервер для удобства управления, к примеру, установите Midnight Commander, чтобы было проще прописывать команды. Также не забудьте обновить Centos, чтобы он корректно работал (команда для обновления: yum -y update). После введенных изменений обязательно перезапустите сервер, чтобы новые конфигурации вступили в силу: reboot.

Настройка и установка OpenSSH в Centos

Чтобы можно было создать сервер с SSH протоколом, необходима установка OpenSSH. Это весьма популярная программа для создания серверов и подключения к ним клиентом. Установка OpenSSH происходит из консоли при помощи следующей команды: yum install openssh-server. Но куда важнее правильная настройка, чем установка, так как по умолчанию созданный вами сервер Centos хоть и будет работать по защищенному протоколу SSH, но не будет считаться безопасным.

Первым делом вам необходимо определиться с IP-адресами, которые будут пользоваться SSH сервером. Настройка разрешенных и запрещенных адресов происходит в iptables, где вы указываете семейства IP, а также конкретные адреса, для которых вход разрешен. Это хороший способ обеспечить безопасность вашему хосту SSH. Запрещать доступ можно при помощи строки host.deny, а разрешать при помощи host.allow.

Основная настройка сервера заключается в редактировании файла конфигураций /etc/ssh/sshd_config. Именно в нем находятся самые сильные и самые слабые стороны протокола SSH. По умолчанию сервер не защищен, так как в нем даже порт указан стандартный. А это отличная лазейка для подборщиков паролей, которые могут взломать аккаунты клиентов вашего сервера. Вы можете закомментировать стандартный порт 22 и указать новое его значение, чтобы подборщики не смогли даже попасть на страницу авторизации для перебора паролей.

загрузка...

Следующий важный штрих настроек — это запрет входа для root-пользователя. Если все же подборщикам удастся попасть к вам на сервер и они смогут войти в качестве суперадминистратора, то все закончится очень плохо. Они распространят вирус по сети, заразив тем самым компьютеры других клиентов навязчивой рекламой и прочими вредоносными программами. Кругом будет спам, попапы и полный произвол. А вся важная информация будет украдена. Так что пропишите в файле конфигураций возле PermitRootLogin слово «no», чтобы root-пользователь не зашел к вам «в гости» на хост.

Чтобы окончательно побороть взломщиков аккаунтов сервера, вы можете перенастроить параметры аутентификации, а точнее параметры сессии авторизации.

Сделайте так, чтобы у них не хватало времени на подбор паролей. К примеру, уменьшите количество попыток для ввода паролей до возможного минимума возле строки MaxAuthTries. Также ограничьте длительность авторизации для всех пользователей при помощи функции LoginGraceTime. Обязательно укажите в файле конфигураций следующее: PermitEmptyPasswords no. Это запретит клиентам заходить на хост с пустым паролем, что весьма полезно, ведь обратная настройка — это аналогично тому, если бы вы сами приглашали грабителей к себе в дом.

Если на вас напали хитрые подборщики паролей, которые создают множество ботов в попытке завладеть аккаунтом клиента, то вы можете активировать автоматическую блокировку роботов. Для этого в файле /etc/pam.d/system-auth пропишите следующую строку: auth required pam_abl.so config=/etc/security/pam_abl.conf. Она активирует pam-модуль, который будет автоматически вносить ip-адреса в таблицу запрещенных в iptables. В ином случае вам бы пришлось заниматься этим вручную, что весьма надоедает со временем.

И последний хороший способ, как обезопасить ваш сервер Centos — это изменение способа аутентификации. Куда лучше использовать вместо привычного пароля публичный ключ. Клиенты будут генерировать ключ у себя на компьютере, а потом зарегистрирует его у вас на сервере. В итоге, подборщики не смогут перехватить пароли, пускай они и зашифрованные, и ваш хост будет в безопасности!

Похожие статьи

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here