Од корен корисник је универзалан за све Линук и Уник системе, а хакери су увек жељели да користе брутефорце за приступ системима. Да би злостављао непривилеговани налог, хакер мора прво научити корисничко име, чак и ако успех нападача остане ограничен, осим ако не користи локални екплоит.Овај водич приказује како у 2 једноставна корака онемогућити роот приступ путем ССХ-а.

• Како онемогућити ссх роот приступ на Дебиан 10 Бустеру
• Алтернативе за осигурање вашег ссх приступа
• Филтрирање ссх порта помоћу иптаблес
• Коришћење ТЦП омотача за филтрирање ссх-а
• Онемогућавање ссх услуге
• Повезани чланци

Како онемогућити ссх роот приступ на Дебиан 10 Бустеру

Да бисте онемогућили ссх роот приступ, морате уредити ссх конфигурациону датотеку, на Дебиану је / етц / ссх / ссхд_цонфиг, да бисте га уредили помоћу нано уређивача текста покрените:

нано / етц / ссх / ссхд_цонфиг

Нано можете притиснути ЦТРЛ + В (где) и тип ПермитРоот да бисте пронашли следећи ред:

#ПермитРоотЛогин забранити-лозинку

Да бисте онемогућили роот приступ путем ссх-а, једноставно раскоментарујте ту линију и замените забранити-лозинка за не као на следећој слици.

Након онемогућавања роот приступа притисните ЦТРЛ + Кс и И да бисте сачували и изашли.

Тхе забранити-лозинка опција спречава пријаву лозинке омогућавајући само пријављивање путем резервних радњи као што су јавни кључеви, спречавајући нападе грубе силе.

Алтернативе за осигурање вашег ссх приступа

Ограничите приступ аутентификацији јавног кључа:

Да бисте онемогућили пријаву лозинком, дозвољавајући само пријаву помоћу јавног кључа, отворите / етц / ссх / ссх_цонфиг поново конфигурациону датотеку покретањем:

нано / етц / ссх / ссхд_цонфиг

Да бисте онемогућили пријаву лозинком, дозвољавајући само пријаву помоћу јавног кључа, отворите / етц / ссх / ссх_цонфиг поново конфигурациону датотеку покретањем:

нано / етц / ссх / ссхд_цонфиг

Пронађите линију која садржи ПубкеиАутхентицатион и уверите се да пише да као у примеру испод:

Проналажењем реда који садржи садржи лозинку ПассвордАутхентицатион, ако коментарише, коментаришите је и уверите се да је постављена као не као на следећој слици:

Затим притисните ЦТРЛ + Кс и И да бисте сачували и изашли из нано уређивача текста.

Сада као корисник коме желите да дозволите ссх приступ треба да генеришете парове приватног и јавног кључа. Трцати:

ссх-кеиген

Одговорите на низ питања остављајући први одговор подразумеваним притиском на ЕНТЕР, подесите приступну фразу, поновите је и тастери ће бити сачувани на ~ /.ссх / ид_рса

Генерисање јавног / приватног рса пара кључева.
Унесите датотеку у коју ћете сачувати кључ (/ роот /.ссх / ид_рса):
Унесите приступну фразу (празно без лозинке): Поново унесите исту лозинку:
Ваша идентификација је сачувана у / роот /.ссх / ид_рса.
Ваш јавни кључ је сачуван у / роот /.ссх / ид_рса.пуб.
Кључни отисак прста је:
СХА256: 34 + уКСВИ4д3ик6риОАтДКТ6РаИФцлВЛиЗУдРлЈвфбВГо роот @ линукхинт
Случајна слика кључа је:
+---[РСА 2048]----+

За пренос парова кључева које сте управо креирали можете користити ссх-цопи-ид наредба са следећом синтаксом:

ссх-цопи-ид @

Промените подразумевани ссх порт:

Отвори / етц / ссх / ссх_цонфиг поново конфигурациону датотеку покретањем:

нано / етц / ссх / ссхд_цонфиг

Рецимо да желите да користите порт 7645 уместо подразумеваног порта 22. Додајте линију као у доњем примеру:

Лука 7645

Затим притисните ЦТРЛ + Кс и И да бисте сачували и изашли.

Поново покрените ссх услугу покретањем:

сервис ссхд рестарт

Затим треба да конфигуришете иптаблес да дозволе комуникацију преко порта 7645:

иптаблес -т нат -А ПРЕРОУТИНГ -п тцп --дпорт 22 -ј РЕДИРЕЦТ --то-порт 7645

Уместо тога можете да користите и УФВ (Некомпликовани заштитни зид):

уфв дозвољавају 7645 / тцп

Филтрирање ссх порта

Такође можете дефинисати правила за прихватање или одбијање ссх веза према одређеним параметрима. Следећа синтакса показује како прихватити ссх везе са одређене ИП адресе помоћу иптаблес:

иптаблес -А ИНПУТ -п тцп --дпорт 22 --соурце -ј ПРИХВАТИ
иптаблес -А ИНПУТ -п тцп --дпорт 22 -ј ДРОП

Прва линија горњег примера даје упутства иптаблес-има да прихвате долазне (ИНПУТ) ТЦП захтеве на порт 22 са ИП 192.168.1.2. Други ред упућује ИП табеле да прекину све везе на порт 22. Извор такође можете да филтрирате према мац адреси као у доњем примеру:

иптаблес -И ИНПУТ -п тцп --дпорт 22 -м мац ! --мац-извор 02: 42: дф: а0: д3: 8ф
-ј ОДБИЈАЊЕ

Горњи пример одбацује све везе, осим уређаја са мац адресом 02: 42: дф: а0: д3: 8ф.

Коришћење ТЦП омотача за филтрирање ссх-а

Други начин да се ИП адресе ставе на белу листу за повезивање путем ссх-а док се одбијају остале је уређивање хостова директорија.поричу и домаћини.дозволи лоцирано у / итд.

Да бисте одбили све покренуте хостове:

нано / етц / хостс.негирати

Додајте последњи ред:

ссхд: СВЕ

Притисните ЦТРЛ + Кс и И да бисте сачували и изашли. Сада да дозволимо одређеним домаћинима преко ссх-а да уређују датотеку / етц / хостс.дозволи, за уређивање изврши:

нано / етц / хостс.допустити

Додајте ред који садржи:

ссхд:

Притисните ЦТРЛ + Кс да бисте сачували и изашли из нано.

Онемогућавање ссх услуге

Многи домаћи корисници сматрају ссх бескорисним, ако га уопште не користите, можете га уклонити или можете блокирати или филтрирати порт.

На Дебиан Линук-у или системима заснованим на Убунту-у можете уклонити услуге користећи апт манагер пакета.
Да бисте уклонили покретање ссх услуге:

уклонити ссх

Притисните И ако се затражи да завршите уклањање.

И то је све око домаћих мера за заштиту ссх-а.

Надам се да вам је овај водич био користан, наставите да пратите ЛинукХинт за више савета и упутстава о Линуку и умрежавању.

Повезани чланци:

• Како омогућити ССХ сервер на Убунту 18.04 ЛТС
• Омогућите ССХ на Дебиану 10
• Прослеђивање ССХ порта на Линук-у
• Уобичајене опције конфигурације ССХ Убунту
• Како и зашто променити подразумевани ССХ порт
• Конфигуришите прослеђивање ССХ Кс11 на Дебиан 10
• Арцх Линук ССХ Сервер подешавање, прилагођавање и оптимизација
• Иптабле за почетнике
• Рад са Дебиан заштитним зидовима (УФВ)