Jak poprawnie zabezpieczyć serwer SSH?

Domyślna konfiguracja serwera SSH powoduje, że nasz serwer jest narażony na włamanie. Podstawową i bardzo prostą w konfiguracji czynnością jest zmiana domyślnego portu SSH na inny niż 22 oraz uniemożliwienie zdalnego logowania użytkownikowi root.

W celu zmiany konfiguracji serwera SSH prosimy zalogować się na serwer oraz wczytać do edycji dowolnym edytorem plik:

/etc/ssh/sshd_config

Tam należy ustawić w zmiennej "Port" wartość inną niż 22 np. 2323. Trzeba również zwrócić uwagę na to żeby numer portu nie kolidował z inną usługą uruchomioną na serwerze np. serwerem WWW działającym zazwyczaj na porcie 80 itd.

Kolejna istotna rzecz to zdalne logowanie na użytkownika "root". Bezpieczniej jest gdy najpierw zalogujemy się na zwykłego użytkownika, a potem dopiero na konto root. Potencjalny włamywacz oprócz tego, że musi złamać dwa hasła to jeszcze musi poznać nazwę użytkownika, którą definiujemy sami. Przy czym należy tu unikać nazw taki jak: admin, user, administrator, itp.

Żeby nie pozbawić się możliwości logowania do serwera SSH najpierw trzeba dodać nowego użytkownika i od razu ustanowić dla niego hasło:

useradd -m -d /home/robert12/ -g users robert12
passwd robert12

W pliku:

/etc/ssh/sshd_config

ustawiamy wartość "PermitRootLogin" na "no".

Od tej pory aby dostać się na konto "root" trzeba zalogować się najpierw na konto "robert12", a następnie za pomocą komendy:

su

przechodzimy na konto root-a.

Aby ustawienia zostały zatwierdzone prosimy zrestartować serwer SSH:

service sshd restart

Uczulamy również na fakt iż hasła powinny być maksymalnie skomplikowane.