" Вы начинающий админ и хотите, например, поднять свой веб сервер. Идете в интернет, находите подходящую Вам статью и вперед! Давайте обратим внимание на один Важный момент, практически во всех этих статьях дается минимум команд для запуска необходимых служб и сервисов. Хорошо - заработало! А все ли Вы сделали для того, чтобы работать не перестало? Используете SSH через интернет? Почему никто в своих статьях не освещает проблем, которые могут получить новоиспеченные админы с таким подходом к настройке сервера, ведь именно для новичков и написаны статьи. Для того, чтобы Вы вовремя обратили внимание на вопрос безопасности, я обязательно буду делать пометки и ссылки в своих статьях на данный материал. Предупрежден – вооружен! "
Итак, SSH (secure shell) – безопасный сервер терминалов, предоставляет удаленный доступ к системе. Безопасный, т.к. весь трафик между клиентом и сервером шифруется. А так ли он безопасен с настройками по умолчанию? Если Вы имеете сервер с возможностью подключения по SSH через интернет, обязательно найдутся желающие подобрать пароль для входа. Думаю, не стоит объяснять, что возможный злоумышленник сможет получить практически неограниченный доступ к системе.
Во всех современных дистрибутивах Ubuntu разработчики пытаются повысить уровень безопасности при стандартных параметрах, но этого не всегда бывает достаточно, а иногда мы сами выбираем неправильную концепцию и совершаем ошибки.
Установка SSH сервера в Ubuntu.
Установка SSH сервера в Ubuntu выполняется следующей командой:
Sudo apt-get install ssh openssh-server
После установки SSH сервер автоматически прописывается в автозагрузку. Управлять его запуском, остановкой или перезапуском можно с помощью команд:
Sudo service ssh stop | start | restart
Основной файл конфигурации SSH - сервера - файл /etc/ssh/sshd_config , доступный для чтения или редактирования только супер пользователю (root). Для применения изменений необходимо перезапустить ssh-сервер.
Настройки безопасности SSH сервера.
Протокол по умолчанию.
Опять же в современных дистрибутивах по умолчанию реализуется протокол SSH2. Если в Вашем случае указано нечто вроде:
Protocol 2,1
Необходимо оставить только 2:
Protocol 2
Использование небезопасного протокола SSH1 не рекомендуется.
По умолчанию в последних релизах Ubuntu, доступ пользователя root через SSH ограничен.
PermitRootLogin without-password
PermitRootLogin no
С такими настройками пользователь root не сможет авторизоваться по SSH.
Также данный параметр будет удобен, если с сервером работает несколько администраторов под учетной записью супер пользователя. Администраторы будут заходить под своей учетной записью и только после этого получать привилегии root, это намного облегчит аудит сервера и действий, которые выполняют администраторы.
Еще немного о root в Ubuntu, созданный по умолчанию пользователь (при установке системы) может решать все административные задачи через sudo. Активировать пользователя root для доступа к системе мне кажется не обоснованным решением.
Предоставление доступа только указанным пользователям или группам.
Представим, что на Вашем сервере есть определенное количество пользователей, но предоставлять доступ по SSH необходимо только некоторым. Так давайте ограничим круг пользователей имеющих доступ:
AllowUsers user1 user2
Также Вы можете указать необходимую группу, например administrators:
AllowGroups administrators
Запретите доступ с "пустыми" паролями.
Вы должны явно запретить удаленный доступ с использованием пустых паролей:
PermitEmptyPasswords no
Изменение стандартного порта.
SSH по умолчанию работает на 22 порту. Соответственно основная масса атак будет направлена именно на этот порт, далее используя подбор имени пользователя и пароля, будут происходить попытки получить доступ к серверу. Мы уже исключили самое известное имя пользователя из базы возможного злоумышленника (root) и разрешили доступ только определенным пользователям, теперь сократим количество возможных атак (боты, ищущие уязвимости на стандартных портах), изменив порт, используемый по умолчанию (новый порт должен быть свободен!).
Изменим, к примеру, на:
Port 2220
Стоит понимать, что изменение порта никак не поможет Вам при целенаправленной атаке brute-force (подбор пароля). Злоумышленник может, например, пройтись сканером портов по IP адресу, на котором распложен Ваш сервер, в результате он получит список всех открытых портов.
Также помните, что теперь для подключения к серверу помимо IP адреса Вам нужно указать и номер порта.
Действительно рабочим вариантом защиты от перебора является использование для аутентификации SSH2 RSA-ключей. При таком способе пользователь генерирует пару ключей, из которой один ключ является секретным, а другой публичным. Публичный ключ находится на сервере и служит для проверки идентичности пользователя. Плюс ко всему связку ключ – публичный ключ можно обезопасить парольной фразой, повысив криптостойкость авторизации. Логика проста, не используете для авторизации пароль – подбирать нечего!
Заходим в систему под тем пользователем, которому будем настраивать доступ по SSH к серверу.
Сгенерируем RSA ключ длинной 4096, Вам будет предложено указать место хранения, оставим по умолчанию (/home/UserName/.ssh/id_rsa), также будет предложено задать пароль на создаваемый ключ. Если пароль не указывать, то во время аутентификации на сервере по сертификату вводить его не придется, это менее надежно. Рекомендую Вам указать пароль:
Ssh-keygen -t rsa -b 4096
В указанной директории будет создана пара ключей:
id_rsa.pub - публичный
id_rsa – приватный
Проверим, созданы ли файлы:
Cd ~/.ssh ls -al
Установим права на папку и файлы:
Sudo chmod 0700 ~/.ssh/ sudo chmod 0600 ~/.ssh/id*
Приватный ключ необходимо передать клиенту защищенным образом и удалить с сервера во избежание компрометации ключей.
Ключ id_rsa передается клиенту:
/home/UserName/.ssh/id_rsa
После чего удаляется с сервера:
Sudo rm /home/UserName/.ssh/id_rsa
Создадим файл authorized_keys (находимся в системе под тем же пользователем “UserName”, для которого создавался сертификат) и скопируем в него содержимое файла id_rsa.pub , определим владельца и выставим права на директорию и файл.
Cd ~/.ssh sudo touch authorized_keys sudo chown UserName:UserName authorized_keys sudo cat id_rsa.pub >> authorized_keys sudo chmod 0700 ~/.ssh/ sudo chmod 0600 ~/.ssh/authorized_keys
Проверим, что текст скопировался:
Sudo cat /home/UserName/.ssh/authorized_keys
Если текст успешно скопирован, можно удалить публичный ключ:
Sudo rm /home/UserName/.ssh/id_rsa.pub
Sudo nano /etc/ssh/sshd_config
Необходимо раскоментировать строки и выставить параметры следующим образом:
# разрешаем авторизацию при помощи ключей PubkeyAuthentication yes # Путь, где будут находиться ключи, с которыми можно соединяться для каждого пользователя свой файл в его директории. AuthorizedKeysFile %h/.ssh/authorized_keys
Перезапустим SSH сервер:
Sudo service ssh restart
После того, как Вы сформировали сертификаты для всех пользователей (кому необходим доступ по SSH), рекомендую Вам отключить аутентификацию по паролю, отредактировав все тот же файл /etc/ssh/sshd_config
Внимание перед отключением аутентификации по паролю убедитесь в возможности доступа по ключу
PasswordAuthentication no Подключение к SSH серверу через PuTTY, используя сертификат.
Для начала необходимо выполнить конвертацию приватного ключа (ключ пользователя UserName), который ранее мы забрали с сервера.
Для этого нам потребуется программа PuTTYgen .
Загружаем файл приватного ключа "Conversions - Import Key ".
Если Вы установили, пароль вводим его.
Выбираем "Save private key " и сохраняем полученный ppk файл. Хранить его стоит в месте, где он не сможет быть скомпрометирован.
Открываем программу PuTTY и настраиваем соединение:
Session - Host Name (or IP Address) IP адрес хоста, на котором настраивался SSH Сервер;
Session - Port Порт, указанный в настройках SSH сервера;
Session - Saved Session Название сессии (соединения);
Connection - Data - Autologin username Имя пользователя;
Connection - SSH - Auth - Private key file for authentication Путь к ppk файлу;
Session - Save Сохраняем сессию;
Session - Saved Session (выбираем нашу сессию) - Load - Open - Сессия должна запуститься;
Вводим пароль и нажимаем Enter, после этого попадаем в систему.
В случае если сертификат пользователя был скомпрометирован, выполняем отзыв сертификата и запрещаем доступ пользователю.
Для того, чтобы закрыть доступ пользователю UserName к Хосту по сертификату, перейдем в папку где хранится его сертификат:
Cd ~/.ssh
Удалим файл его публичного сертификат authorized_key с сервера OpenSSH, если же вы неосмотрительно не удаляли файлы id_rsa.pub и id_rsa , удалите их. Просматриваем содержимое каталога коммандой "ls".
Удаляем необходимые файлы:
Sudo rm authorized_key id_rsa.pub id_rsa
Также хорошим тоном будет ограничение времени на ввод данных для авторизации, ну и таймаут при отсутствии активности.
В примере ниже это время ограничено до 30 секунд:
LoginGraceTime 30
Таймаут при отсутствии активности соединения.
Автоматическое отключение соединения после определенного времени, в течение которого зафиксировано бездействие в консоли.
ClientAliveCountMax – Параметр указывает на полное количество сообщений, отсылаемых ssh-сервером для распознавания активности ssh-клиента. По умолчанию это 3.
ClientAliveInterval – Параметр указывает на время ожидания в секундах. По истечению ssh-сервер отошлет сообщение-запрос клиенту. По умолчанию значение этого параметра – 0. Сервер не отсылает сообщение для проверки.
Отключение ssh-клиента автоматически после 5 минут (300 секунд):
ClientAliveInterval 300 ClientAliveCountMax 0
Итак, в Интернете, понятное дело, что есть огромное количество примеров установки SSH, но вот незадача-то 🙂 не везде описаны все детали, и порой новичку в данной ситуации ой как нелегко приходится, сам на себе это испытал… Итак, вот полное и подробное до мельчайших деталей описание установки великого и могучего SSH.
Сначала установим SSH на машине на которую планируем подсоединяться. Для этого в консоли (командной строке, терминале) введём команду:
sudo apt-get install openssh-server
После этой команда автоматически найдётся и установится SSH (конечно же необходимо подсоединение к великому и могучему Интернету). Затем необходимо произвести настройку. Вся конфигурация нашего сервера производиться изменением файла /etc/ssh/sshd_config . Но для начала, я бы порекомендовал сделать резервную копию исходного конфигурационного файла. Для этого пишем:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
Теперь оригинальный конфигурационный файл скопируется в ту же дирректорию что и был, но уже будет называться sshd_config.original , после этого мы можем спокойно производить все необходимые изменения, так как в любой момент сможем восстановить оригинальные настройки. Итак открываем конфигурационный файл для редактирования, я его открываю через редактор nano, на мой взгляд это прекрасный редактор для работы в консоли.
sudo nano /etc/ssh/sshd_config
Вы увидите следующие директивы:
- Port 22 — указывает порт по которому сервер будет ожидать входящего соединения. Например, Port 1234 означает что к серверу можно будет подключиться по порту 1234. Но стандартный — 22 порт, хотя я рекомендовал бы его сменить, так как именно с него и начинают попытки взлома сервера «недоброжелательные личности Интернет просторов».
- PermitRootLogin no — лучше установите в значение no . Этим самым Вы запретите логиниться под рутом.
- ListenAddress — указывает какой протокол/интерфейс будет прослушиваться ssh.
- Protocol — позволяет выбрать версию протокола 1 или 2. Рекомендуется протокол 2.
- HostKey — ключевые файлы для второй версии протокола SSH
- PermitEmptyPasswords no — запретить пустые пароли, надёжность не помешает.
- UsePrivilegeSeparation — лучше оставить включенным для безопасности.
- AllowUsers Goodboy — этого параметра нет в конфиге, советую дописать. Goodboy — имя вашего юзера (он у каждого конечно же свой, это просто пример). Этот параметр устанавливает разрешение логинится только и только с этим именем, ssh пробивают не только на предмет пароля, но и на предмет системных или стандартных имен. К примеру apache, www, которые по каким-то причинам могут оказаться беcпарольными, или andy, bobby, anna и тп. К имени Goodboy можно добавить ip-адрес — [email protected] — если вы уверены, что на клиентской машине всегда именно этот не меняющийся адрес. Такой параметр разрешит логинится только пользователю Goodboy и только при условии, что его хост совпадает с заданным. В принципе это конечно же не обязательно, но пять же, дополнительная защита не помешает.
Перенастраиваем те настройки которые вам нужны дополнительно, затем нажимаем кнопку F3 для сохранения и затем Enter для подтверждения и F2 для выхода в консоль обратно.
Затем перезагружаем SSH демон:
sudo /etc/init.d/ssh restart
Затем мы можем к нему подсоединяться. Как правило, сервер — на Linux стоит, а рабочие машины как правило на Windows, то и подсоединяться к серверу будем через ОС Windows. Для этого на машине с которой планируем подключаться устанавливаем 2 програмки: Putty — для доступа к командной строке сервера, WinSCP — для более удобных стандартных операций копирования, удаления, перемещения, создания папок на сервере и так далее. Последняя программа своим интерфейсом напоминает аналог Total commander, Far manager и подобные им программы. На самом же деле можно использовать не только WinSCP, но и вышеперечисленные программы, а так же FileZilla и прочие, но легче, удобнее, и менее проблемнее в настройке и работе, на мой взгляд текущая программа. Итак, для подсоединения необходимо всего навсего указать порт к которому хотим подсоединиться, по умолчанию 22 если Вы его не изменили, а затем имя хоста или его IP адресс. Так как сервера, как правило ставятся на статические IP то в этом нет никаких проблем.
Довольно часто может понадобиться получить доступ к удаленному компьютеру или серверу через интернет. В случае с персональным компьютером, это может понадобиться для срочного решения какой-либо проблемы, а в случае с сервером это вообще очень распространенная практика. В Linux наиболее часто для решения таких задач используется протокол ssh.
Служба ssh позволяет получить доступ к терминалу удаленного компьютера и выполнить там все необходимые вам команды. При своей простоте она достаточно безопасна, чтобы использоваться для решения серьезных коммерческих задач, так и задач обычных пользователей. В этой статье мы рассмотрим как выполняется установка ssh Ubuntu 16.04, а также поговорим о начальной настройке ssh сервера.
SSH или Secure Shell - это протокол безопасного доступа из одного компьютера к другому по сети. У протокола SSH очень много возможностей. Вы можете создавать защищенные соединения между компьютерами, открывать командную строку на удаленном компьютере, запускать графические программы, передавать файлы и организовывать частные сети.
За поддержку протокола SSH в Linux отвечает набор программного обеспечения OpenSSH. Это открытая реализация этого протокола, которая предоставляет все необходимые возможности. В состав пакета OpenSSH входят утилиты для установки соединения, передачи файлов, а также сам ssh сервер.
Установка OpenSSH в Ubuntu
Установить ssh на Ubuntu будет очень просто, программа считается стандартной и используется почти везде. Хотя по умолчанию в дистрибутиве ее нет, но зато она есть в официальных репозиториях.
Поэтому для установки откройте терминал с помощью сочетания клавиш Ctrl+Alt+T и выполните команду:
sudo apt install openssh-server
Будет загружено несколько пакетов, а когда установка ssh сервера Ubuntu завершится, программа будет готова к работе. Если вы хотите чтобы служба запускалась автоматически нужно добавить его в автозагрузку. Поэтому чтобы включить ssh Ubuntu 16.04 выполните:
sudo systemctl enable sshd
Если затем вы захотите удалить службу из автозагрузки, используйте команду disable:
sudo systemctl disable sshd
Что касается клиента ssh, то он уже установлен в системе по умолчанию. Сейчас вы можете попробовать подключиться к локальному ssh серверу просто набрав:
В одной из предыдущих статей мы рассматривали , сейчас вы можете убедиться что в пределах этой машины он значит локальный адрес:
Точно таким способом вы можете получить ssh доступ ubuntu к любому другому компьютеру из сети. Для этого достаточно указать вместо localhost его ip адрес и имя пользователя в таком формате:
$ ssh имя_пользователя @ ip_адрес
Настройка SSH в Ubuntu
С параметрами по умолчанию сервер SSH не очень безопасен поэтому перед тем, как программа будет готова к полноценному использованию ее нужно немного настроить. Все настройки сервера SSH хранятся в конфигурационном файле sshd_config, который находится в папке /etc/ssh.
Перед тем как вносить изменения в этот конфигурационный файл рекомендуется сделать его резервную копию, для этого можете использовать такую команду:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.factory-defaults
sudo vi /etc/ssh/sshd_config
Первым делом желательно сменить порт, на котором работает ssh, возможный злоумышленник не знал включен ли у вас этот сервис. Найдите в конфигурационном файле строчку Port и замените ее значение на любое число, например, Port 2222 :
По умолчанию вход от имени суперпользователя включен, рекомендуется отключить такую возможность. Для этого найдите строчку PermitRootLogin и замените ее значение на no:
Чтобы разрешить аутентификацию по ключу, а не по паролю найдите строку PubkeyAuthentication и убедитесь, что ее значение yes .
После того как все настройки будут завершены, сохраните изменения нажав:w и перезапустите службу ssd:
sudo systemctl restart ssh
Более подробно про настройку и использование различных тонкостей ssh рассказано в статье .
Если вы изменили порт, то при подключении в клиенте тоже нужно указать новый порт, так как по умолчанию будет использоваться 22, например:
ssh -p 2222 localhost
К тому же, если на компьютере установлен и настроен брандмауэр, то в нем тоже нужно разрешить доступ к новому порту ssh, для этого выполните:
sudo ufw allow 2222
Даже если служба ssh находится на порту по умолчанию, его тоже нужно открыть в брандмауэре если вы собираетесь подключаться к компьютеру через интернет:
sudo ufw allow 22
Настройка ssh Ubuntu 16.04 полностью завершена.
Выводы
Теперь, когда установка ssh Ubuntu 16.04 завершена, вы можете получить удаленный доступ к своему компьютеру через интернет и быть уверенными что он находится в безопасности. Если у вас остались вопросы, спрашивайте в комментариях.
На завершение видео, где подробно рассказано о том, что такое ssh:
В этой статье вы узнаете как установить SSH в Ubuntu 16.04 LTS. Сразу скажу, что делается это очень быстро и легко. Главное следуйте инструкции по установке.
Что такое SSH?
Если вам интересно что такое SSH - это специальная так называемая полностью «Безопасная оболочка». Использует сетевой протокол прикладного уровня и туннелирование через TCP-соединений. Если говорить намного проще, то задача заключается в безопасной передаче файлов через специальные протоколы даже в незащищенной среде. Этот протокол позволяет довольно быстро шифровать данные и пароли. К тому же есть вариации при выборе способа шифрования, что делает его еще лучше. В принципе этот протокол можно назвать лучшим среди конкурентов.
Как включить SSH в Ubuntu 16.04 LTS
Установка SSH Ubuntu 16.04 как мы сказали выше, очень легкая.
Вот как включить службу Secure Shell (SSH) в Ubuntu 16.04 Xenial Xerus, новый выпуск LTS, чтобы обеспечить безопасный удаленный вход в систему и другие сетевые коммуникации.
Ubuntu предоставляет OpenSSH (OpenBSD Secure Shell) в своих репозиториях юниверсов, который представляет собой набор утилит сетевого уровня, связанных с безопасностью, основанных на протоколе SSH.
1. Чтобы установить его, откройте терминал (Ctrl + Alt + T) или войдите в систему на сервере Ubuntu и выполните команду:
Sudo apt-get install openssh-server
2. После этого в вашей системе должен быть включен сервис SSH, вы можете проверить его статус, выполнив команду:
Sudo service ssh status
Настройка SSH в Ubuntu
3. Вы можете изменить некоторые настройки (например, порт прослушивания и права доступа root), отредактировав конфигурационный файл с помощью команды:
Sudo nano / etc / ssh / sshd_config
На рабочем столе Ubuntu вы можете использовать gedit вместо nano:
Наконец, примените эти изменения, перезагрузив Ubuntu или перезагрузив SSH:
Sudo service ssh restart
Кроме того, вы можете прочитать официальную страницу руководства.
Выводы
Как вы поняли Установка OpenSSH в Ubuntu является очень простой. Для того чтобы все сделать быстро и правильно, вам нужно просто следовать инструкции указанной выше.
Также если у вас остались какие-то вопросы по теме «Установка SSH Ubuntu 16.04» то можете писать их в форму комментариев на нашем сайте. Чтобы мы смогли предоставить вам ответ, постарайтесь как можно боле подробно описать вопрос. К примеру, сразу укажите характеристики своей системы, версию Ubuntu и соответственно подробное описание вопроса.
Если статья была для вас полезной, то обязательно длитесь ссылкой в Google+, Twitter, ВК, или, например Facebook.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .
Благодарим Вас за проявленный интерес к нашему сайту. Компания Айтишник существует с 2006 года и предоставляет услуги IT аутсорсинга. Аутсорсинг - это перепоручение необходимых, но непрофильных для компании работ другой организации. В нашем случае это: создание, поддержка и сопровождение сайтов, продвижение сайтов в поисковых системах, поддержка и администрирование серверов под управлением Debian GNU/Linux.
Сайты на Joomla
В нынешний век информации, сайт де факто, становится как минимум визитной карточкой организации, а зачастую одним из инструментов бизнеса. Уже сейчас сайты создаются не только для организаций и частных лиц, но и для отдельных товаров, услуг и даже событий. На сегодняшний день сайт это не только источник рекламы на гигантскую аудиторию, но и инструмент для продаж и завязывания новых контактов. Мы создаем сайты, используя CMS Joomla! Эта система управления сайтами проста и интуитивно понятна. Она очень широко распространена и, следовательно, в Интернете о ней содержится большое количество информации. Найти специалиста, работающего с Joomla тоже несложно. И вам не надо далеко ходить! Наша компания Айтишник занимается обслуживанием и сопровождением сайтов на Joomla! Мы проведём все технические работы, возьмём на себя всю переписку с хостером и регистратором домена, наполним сайт и обновим на нём информацию. И хотя Joomla проста в управлении, интуитивно понятна. Но будете ли вы сами регулярно выполнять необходимые работы на сайте? Сколько времени они отнимут у вас? Если вы хотите сконцентрироваться на своём деле, то доверьте поддержку вашего сайта нам. Мы сделаем все от нас зависящее, чтобы сайт жил и приносил пользу своему владельцу.
Если вы коммерческая организация, которая рекламирует или продаёт свои товары, услуги в Интернет, то вам просто необходимо продвижение сайта в поисковых системах. Ведь для того, чтобы продать что-нибудь надо, как минимум, чтобы это увидели, чтобы об этом узнали. И мы поможем вам в этом, мы продвинем ваш Joomla сайт в поисковых системах. В зависимости от конкуренции и выделенного для продвижения бюджета, ваш сайт будет занимать достойные позиции в поисковой выдаче. Сайт увеличит вашу прибыль!
Серверы Debian
Рано или поздно, стремясь к открытости и прозрачности своего бизнеса, многие компании сталкиваются с необходимостью обеспечения лицензионной чистоты используемого программного обеспечения. Однако, далеко не всегда затраты на лицензионные отчисления приемлемы, в особенности для малого и среднего бизнеса. Выходом из этой сложной ситуации является решение о переходе на Open Source технологии. Одним из направлений Open Source является операционная система Linux (Линукс). Сотрудники нашей компании специализируются на Debian Linux (Дебиан Линукс). Это старейший и наиболее устойчивый дистрибутив операционной системы Линукс. Мы предлагаем вам услуги по внедрению Debian Linux на Вашем предприятии, настройку, обслуживание и поддержку серверов.
