Настройка SSH

## Настройка SSH

### На сервере ssh

apt-cdrom add

apt update && apt install ssh

nano /etc/ssh/sshd_config

Прописать

AllowUsers

Изменить на нестандартный порт:

Найти строку #Port 22, раскоментировать и изменить на Port 2222

Установите запрет на доступ root;

Найти строки #PermitRootLogin prohibit, раскоментировать изменить на PermitRootLogin no

Banner ( Authorized access only! )

Banner "Authorized access only!"

Ограничьте ввод попыток до 4;

MaxAuthTries 4

Отключите пустые пароли;

PermitEmptyPasswords no

Установите предел времени аутентификации до 5 минут;

LoginGraceTime 5m

Настройте контроль доступа по HQ-SRV по SSH со всех устройств, кроме CLI

ListenAddress 0.0.0.0- не работает

systemctl enable ssh

и так далее со всеми нужными адресами

### на hq-r

touch /etc/iptables.rules

iptables -t nat -A PREROUTING -i eth2(порт который на isp) -p tcp --dport 22 -j DNAT --to-destination 172.16.100.10(адрес ssh-server):2222

chmod 640 /etc/iptables.rules

### ограничение доступа для CLI на сервере ssh

файл: sudo nano /etc/hosts.deny и запретить все подключения от CLI:

iptables -A INPUT -p tcp --dport 2222 -s 172.16.200.8/28 -j DROP

ip6tables -A INPUT -p tcp --dport 2222 -s 2001:16::8/124 -j DROP

nano /etc/network/if-post-down.d/iptables

#!/bin/sh

touch /etc/iptables.rules

chmod 640 /etc/iptables.rules

iptables-save > /etc/iptables.rules

exit 0

chmod +x /etc/network/if-post-down.d/iptables

nano /etc/network/if-pre-up.d/iptables

#!/bin/sh iptables-restore < /etc/iptables.rules

rm /etc/network/if-post-down.d/iptables - эти команды для удаления, на случай если легла сеть

rm /etc/network/if-pre-up.d/iptables- эти команды для удаления, на случай если легла сеть (ребутнуть все потом)

exit 0

chmod +x /etc/network/if-pre-up.d/iptables

### Подключение с удаленного сервера

ssh administrator@172.16.100.10 -p2222