mysurik.ru
Безопасность и Сеть

Повышение Безопасности SSH-соединений: Практические Меры и Рекомендации

SSH (Secure Shell) является основополагающим протоколом для удалённого управления серверами и сетевыми устройствами. Он предоставляет зашифрованный канал связи, что позволяет безопасно выполнять команды, передавать файлы и администрировать системы из любой точки мира. Однако именно в силу своей широкой распространённости SSH часто становится объектом целевых атак. Надлежащая конфигурация SSH-сервера имеет решающее значение для предотвращения несанкционированного доступа. В данной статье мы подробно рассмотрим ключевые меры, направленные на усиление безопасности SSH.

1. Отключение прямого входа для пользователя root

Прямой вход под учётной записью root представляет собой серьёзную угрозу безопасности. В случае компрометации пароля root-пользователя злоумышленник получит полный контроль над системой. Рекомендуется следующая практика:

  • Создайте отдельную учётную запись с обычными пользовательскими привилегиями.
  • Используйте команду sudo для выполнения административных задач.

Для отключения параметра PermitRootLogin в файле конфигурации SSH (/etc/ssh/sshd_config) выполните:

sudo sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config
# Или, если строка закомментирована и необходимо добавить:
# echo "PermitRootLogin no" | sudo tee -a /etc/ssh/sshd_config

2. Применение аутентификации по ключам вместо паролей

Пароли подвержены риску подбора или угадывания. SSH-ключи, состоящие из публичного и приватного компонентов, обеспечивают значительно более высокий уровень безопасности. Публичный ключ размещается на сервере, а приватный — на вашем локальном компьютере.

Процедура:

  • Генерация ключей: На вашем локальном компьютере используйте команду ssh-keygen.
  • Копирование публичного ключа на сервер: Воспользуйтесь командой ssh-copy-id username@your_server_ip. В случае её недоступности публичный ключ можно скопировать вручную в файл ~/.ssh/authorized_keys на сервере.
  • Отключение аутентификации по паролю: После успешной проверки входа по ключу рекомендуется отключить аутентификацию по паролю в файле /etc/ssh/sshd_config:
sudo sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

3. Изменение стандартного порта SSH (22)

Хотя изменение порта не является всеобъемлющим решением для безопасности, переход со стандартного порта 22 на альтернативный, нестандартный порт (например, 2222, 22000 или любой другой незарезервированный) существенно снижает количество автоматизированных атак методом перебора (brute-force), направленных на порт по умолчанию.

В файле sshd_config найдите или добавьте следующую строку:

sudo sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
# Или добавьте, если строка отсутствует:
# echo "Port 2222" | sudo tee -a /etc/ssh/sshd_config

Важно: Прежде чем перезапускать SSH-сервис, убедитесь, что вы обновили правила межсетевого экрана (например, ufw allow 2222/tcp) для разрешения соединений на новом порту.

4. Использование Fail2Ban

Fail2Ban — это автоматизированный сервис, предназначенный для сканирования системных журналов на предмет подозрительной активности (например, многократных неудачных попыток входа SSH) и последующей автоматической блокировки IP-адресов злоумышленников посредством правил межсетевого экрана.

Установка и базовая настройка (для систем на базе Ubuntu/Debian):

sudo apt update
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# В файле jail.local можно скорректировать параметры bantime (время блокировки) и maxretry (количество неудачных попыток)
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

5. Ограничение доступа по IP-адресу (применимо)

Если подключение к серверу всегда осуществляется с фиксированных IP-адресов, рекомендуется настроить межсетевой экран или конфигурацию SSH (используя AllowUsers, AllowGroups или Allow в sshd_config) таким образом, чтобы разрешать SSH-доступ только с этих доверенных адресов.

Пример с UFW:

sudo ufw allow from your_static_ip to any port 2222

6. Отключение пустых паролей и протокола версии 1

Убедитесь, что SSH-сервер не допускает вход с пустыми паролями и использует исключительно более безопасный протокол версии 2. Эти настройки, как правило, уже корректно заданы по умолчанию, однако рекомендуется их проверить:

PermitEmptyPasswords no
Protocol 2

7. Регулярное обновление SSH-сервера

Уязвимости в программном обеспечении выявляются на постоянной основе. Регулярное обновление SSH-сервера (наряду со всей операционной системой) гарантирует применение актуальных исправлений безопасности.

После внесения любых изменений в файл /etc/ssh/sshd_config всегда требуется перезапуск SSH-сервиса:

sudo systemctl restart sshd # Для большинства систем
sudo systemctl restart ssh # Для некоторых систем

Критически важно: Убедитесь в возможности повторного подключения к серверу, прежде чем закрывать текущую сессию.

Заключение

Защита SSH-соединений является приоритетной задачей для любого администратора сервера. Реализация представленных мер значительно снизит риск несанкционированного доступа к вашим системам. В продолжение этой темы, в следующей статье мы рассмотрим стратегии резервного копирования данных.

Ваш комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *