Unul dintre cele mai importante lucruri de făcut imediat după conectarea unui server de la Ubuntu la Internet este, desigur, protecția împotriva accesului neautorizat la administrarea serverului prin ssh. Dacă acest lucru nu este realizat, atunci programe foarte scrise special scrise de scanare a rețelei globale vor găsi că portul 22 este deschis pe serverul dvs. și că este suficient să selectați doar parola pentru utilizatorul rădăcină pentru a controla complet sistemul. Desigur, nu există protecție absolută, dar putem complica complet sarcina unui atacator. Povestea despre metodele de protecție a ssh va fi păstrată, având în vedere posibilele caracteristici atât pentru serverele dedicate cu Ubuntu, cât și pentru serverele VPS / VDS.
Este absolut necesar să protejăm accesul prin ssh. Dacă nu ați făcut deja acest lucru, examinați doar fișierul /var/log/auth.log. Desigur, există înregistrări de încercări de acces neautorizat la sistem.
Într-una din primele sale linii, găsim directiva Port. Schimbați numărul portului 22 la unul dintre porturile non-standard, de exemplu la 4117.
După aceea, reporniți serverul ssh:
... și destul de previzibil vom pierde contactul cu serverul. Prin urmare, reconectăm prin ssh, dar acum specificăm în parametrii de conectare un nou port, de exemplu, astfel:
Schimbarea numărului portului ssh vă permite să eliminați majoritatea tentativelor de parolă prin programe automate. Cu toate acestea, acest pas nu vă va salva de la încercări mai profesioniste de acces neautorizat la sistemul dvs. Prin aceasta ar trebui aplicate alte metode de protecție.
Prin urmare, cu exemplul creării unui nou cont de testare, voi arăta cum să creez un nou utilizator și să îi acord dreptul de a executa comanda sudo. De fapt, mai întâi creați un utilizator nou. Presupunem că noul utilizator este creat din sub contul rădăcină, așa că în mod deliberat omitesem cuvântul cheie sudo înaintea comenzii adduser:
Apoi, trebuie să știți cine are permisiunea de a executa comenzi în numele superuserului folosind cuvântul cheie sudo. Pentru aceasta trebuie să analizăm fișierul visudo:
Mai întâi, instalați denyhosts din depozit: