## Настройка SSH
### На сервере ssh
apt-cdrom add
apt update && apt install ssh
nano /etc/ssh/sshd_config
Прописать
AllowUsers
Изменить на нестандартный порт:
Найти строку #Port 22, раскоментировать и изменить на Port 2222
Установите запрет на доступ root;
Найти строки #PermitRootLogin prohibit, раскоментировать изменить на PermitRootLogin no
Banner ( Authorized access only! )
Banner "Authorized access only!"
Ограничьте ввод попыток до 4;
MaxAuthTries 4
Отключите пустые пароли;
PermitEmptyPasswords no
Установите предел времени аутентификации до 5 минут;
LoginGraceTime 5m
Настройте контроль доступа по HQ-SRV по SSH со всех устройств, кроме CLI
ListenAddress 0.0.0.0- не работает
systemctl enable ssh
и так далее со всеми нужными адресами
### на hq-r
touch /etc/iptables.rules
iptables -t nat -A PREROUTING -i eth2(порт который на isp) -p tcp --dport 22 -j DNAT --to-destination 172.16.100.10(адрес ssh-server):2222
chmod 640 /etc/iptables.rules
### ограничение доступа для CLI на сервере ssh
файл: sudo nano /etc/hosts.deny и запретить все подключения от CLI:
iptables -A INPUT -p tcp --dport 2222 -s 172.16.200.8/28 -j DROP
ip6tables -A INPUT -p tcp --dport 2222 -s 2001:16::8/124 -j DROP
nano /etc/network/if-post-down.d/iptables
#!/bin/sh
touch /etc/iptables.rules
chmod 640 /etc/iptables.rules
iptables-save > /etc/iptables.rules
exit 0
chmod +x /etc/network/if-post-down.d/iptables
nano /etc/network/if-pre-up.d/iptables
#!/bin/sh iptables-restore < /etc/iptables.rules
rm /etc/network/if-post-down.d/iptables - эти команды для удаления, на случай если легла сеть
rm /etc/network/if-pre-up.d/iptables- эти команды для удаления, на случай если легла сеть (ребутнуть все потом)
exit 0
chmod +x /etc/network/if-pre-up.d/iptables
### Подключение с удаленного сервера
ssh administrator@172.16.100.10 -p2222