Найти в Дзене
linuxmasterRUS52

Настройка безопасного удаленного доступа на серверах Alt Linux

6
1 мин
На сервере переключаемся в режим суперпользователя: $ su - Делаем на всякий случай бэкап конфига: # cd /etc/openssh
# cp -a sshd_config sshd_config.bak И правим конфиг файл: # cd /etc/openssh
# mcedit sshd_config Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный: # cd /etc/openssh
# rm sshd_config
# cp -a sshd_config.bak sshd_config
# service sshd reload В любом случае при изменениях этого файла стоит обязательно: чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует. Зайдём в файл конфигурации для внесения изменений vim /etc/openssh/sshd_config Редактируем следующие значения: Port 22 MaxSessions 2 AllowUsers name_user (имя пользователя) PermitRootLogin no / yes PasswordAuthentication yes PermitEmptyPasswords no Banner /root/banner vim /root/banner и например пишем туда следующую строку (ОБЯЗАТЕЛЬНО ПОСЛЕ НЕЁ НАЖАТЬ ENTER, чтобы под ней была пустая строка): WARNING!! ALARM!! Authorized access only NEED Match User petr X11Forwarding yes
Оглавление

Доступ по SSH

Предварительный бэкап

На сервере переключаемся в режим суперпользователя:

$ su -

Делаем на всякий случай бэкап конфига:

# cd /etc/openssh
# cp -a sshd_config sshd_config.bak

И правим конфиг файл:

# cd /etc/openssh
# mcedit sshd_config

Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный:

# cd /etc/openssh
# rm sshd_config
# cp -a sshd_config.bak sshd_config
# service sshd reload

В любом случае при изменениях этого файла стоит обязательно:

  1. держать уже открытую рутовую сессию через достаточно надёжное соединение;
  2. перезапустить sshd;
  3. попытаться подключиться ещё одной рутовой сессией по ключу (либо пользовательской с поднятием привилегий, что несколько менее предпочтительно),

чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует.

Доступ по SSH через сеть

Зайдём в файл конфигурации для внесения изменений vim /etc/openssh/sshd_config

Редактируем следующие значения:

  • Сетевой порт соединения. Раскомментируем эту строчку и, если нужно, можем изменить значение.

Port 22

  • Максимальное количество открытых сеансов, разрешённых для одного сетевого подключения. (раскомментируем строчку)

MaxSessions 2

  • Добавить пользователя

AllowUsers name_user (имя пользователя)

  • Включение или отключение удаленного входа в систему как пользователя root

PermitRootLogin no / yes

  • Параметр PasswordAuthentication разрешает доступ по паролю. Чтобы выключить и разрешить доступ только по ключу, поставьте no.

PasswordAuthentication yes

  • Параметр PermitEmptyPasswords позволяет использовать пустые пароли. Это не безопасно!

PermitEmptyPasswords no

  • Eсли вам нужен какой либо баннер

Banner /root/banner

  • Что бы создать и настроить баннер

vim /root/banner

и например пишем туда следующую строку (ОБЯЗАТЕЛЬНО ПОСЛЕ НЕЁ НАЖАТЬ ENTER, чтобы под ней была пустая строка):

WARNING!! ALARM!! Authorized access only NEED

  • Опция Match позволяет контролировать, кто и при каких обстоятельствах может входить в систему, определяя шаблон критериев, согласно которому будут применяться или не применяться остальные параметры

Match User petr

  • Опция X11Forwarding определяет, разрешено ли туннелирование X11.

X11Forwarding yes

  • Опция AllowTcpForwarding включает или выключает переадресацию портов

AllowTcpForwarding yes

Сохраняем файл и перезапускаем сервис:

systemctl enable --now sshd

systemctl restart sshd