Siden rot Brukeren er universell for alle Linux- og UNIX -systemer, det var alltid det foretrukne bruteforce -offeret av hackere for å få tilgang til systemer. For å bruteforce en uprivilegert konto må hackeren lære brukernavnet først, og selv om å lykkes med angriperen forblir begrenset med mindre den bruker en lokal utnyttelse.Denne opplæringen viser hvordan du deaktiverer rottilgangen gjennom SSH i 2 enkle trinn.

• Hvordan deaktivere SSH Root Access på Debian 10 Buster
• Alternativer for å sikre din SSH -tilgang
• Filtrere SSH -porten med iptables
• Bruker TCP -innpakninger for å filtrere SSH
• Deaktivere SSH -tjenesten
• Relaterte artikler

Hvordan deaktivere SSH Root Access på Debian 10 Buster

For å deaktivere SSH Root Access må du redigere SSH -konfigurasjonsfilen, på Debian er det /etc/ssh/sshd_config, For å redigere den ved hjelp av Nano Text Editor Run:

Nano/etc/ssh/sshd_config

På Nano kan du trykke Ctrl+w (hvor) og type Tillatelse For å finne følgende linje:

#Permitrootlogin Forbypassord

For å deaktivere rottilgangen gjennom SSH, bare ukomponent den linjen og erstattet Forbypassord til Nei som i følgende bilde.

Etter å ha deaktivert rottilgangspressen Ctrl+x og Y For å lagre og avslutte.

De Forbypassord Alternativ forhindrer passordpålogging som bare tillater innlogging gjennom fall-back-handlinger som offentlige nøkler, forhindrer angrep av brute force.

Alternativer for å sikre din SSH -tilgang

Begrens tilgangen til offentlig nøkkelgodkjenning:

For å deaktivere passordpålogging som bare tillater innlogging ved hjelp av en offentlig nøkkel, åpner du /etc/ssh/ssh_config Konfigurasjonsfil igjen ved å kjøre:

Nano/etc/ssh/sshd_config

For å deaktivere passordpålogging som bare tillater innlogging ved hjelp av en offentlig nøkkel, åpner du /etc/ssh/ssh_config Konfigurasjonsfil igjen ved å kjøre:

Nano/etc/ssh/sshd_config

Finn linjen som inneholder PubKeyAuthentication og sørg for at det står ja som i eksemplet nedenfor:

Forsikre deg om at passordgodkjenning er deaktivert ved å finne linjen som inneholder Passordauthentication, Hvis kommentert det, og sørg for at den er satt som Nei Som i følgende bilde:

Trykk deretter Ctrl+x og Y For å lagre og avslutte Nano Text Editor.

Nå som brukeren du vil gi SSH -tilgang gjennom, trenger du å generere private og offentlige nøkkelpar. Løpe:

SSH-KeenGen

Svar på spørsmålssekvensen som etterlater det første svaret standard ved å trykke på enter, angi passordfrasen, gjenta det og tastene blir lagret på ~/.SSH/ID_RSA

Generere offentlig/privat RSA -nøkkelpar.
Skriv inn filen for å lagre tasten (/root/.ssh/id_rsa):
Skriv inn passfrase (tom for ingen passfrase): Skriv inn samme passfrase igjen:
Din identifikasjon er lagret i /rot /.SSH/ID_RSA.
Din offentlige nøkkel er lagret i /rot /.SSH/ID_RSA.pub.
Det viktigste fingeravtrykket er:
SHA256: 34+uxvi4d3ik6ryoatDkt6raifclvlyzUdrljwfbvgo root@linuxhint
Keyens RandomArt -bilde er:
+---[RSA 2048]----+

For å overføre nøkkelparene du nettopp opprettet, kan du bruke SSH-Copy-ID Kommando med følgende syntaks:

SSH-Copy-ID @

Endre standard SSH -port:

Åpne /etc/ssh/ssh_config Konfigurasjonsfil igjen ved å kjøre:

Nano/etc/ssh/sshd_config

La oss si at du vil bruke porten 7645 i stedet for standardport 22. Legg til en linje som i eksemplet nedenfor:

Port 7645

Trykk deretter Ctrl+x og Y For å lagre og avslutte.

Start SSH -tjenesten på nytt ved å kjøre:

Service SSHD -omstart

Da bør du konfigurere iptables for å tillate kommunikasjon gjennom port 7645:

iptables -t nat -a prerouting -p tcp - -dport 22 -j Redirect - -to -port 7645

Du kan også bruke UFW (ukomplisert brannmur) i stedet:

UFW tillater 7645/TCP

Filtrere SSH -porten

Du kan også definere regler for å godta eller avvise SSH -tilkoblinger i henhold til spesifikke parametere. Følgende syntaks viser hvordan du aksepterer SSH -tilkoblinger fra en spesifikk IP -adresse ved hjelp av iptables:

iptables -a input -P TCP - -DPORT 22 -Source -J aksepterer
iptables -a input -p tcp - -dport 22 -j dråpe

Den første linjen i eksemplet ovenfor instruerer iptables om å godta innkommende (input) TCP -forespørsler til port 22 fra IP 192.168.1.2. Den andre linjen instruerer IP -tabeller om å slippe alle tilkoblinger til port 22. Du kan også filtrere kilden med MAC -adresse som i eksemplet nedenfor:

iptables -i input -p tcp - -dport 22 -m mac ! --Mac-Source 02: 42: DF: A0: D3: 8F
-J avviser

Eksemplet over avviser alle tilkoblinger bortsett fra enheten med MAC -adresse 02: 42: DF: A0: D3: 8F.

Bruker TCP -innpakninger for å filtrere SSH

En annen måte å hviteliste IP -adresser for å koble seg gjennom SSH mens du avviser resten er ved å redigere katalogene verter.benekte og verter.Tillat lokalisert i /etc.

For å avvise alle verter som kjører:

Nano /etc /verter.benekte

Legg til en siste linje:

SSHD: Alle

Trykk Ctrl+X og Y for å lagre og avslutte. Nå for å tillate spesifikke verter via SSH rediger filen /etc /vertene.Tillat, å redigere det Kjør:

Nano /etc /verter.tillate

Legg til en linje som inneholder:

sshd:

Trykk CTRL+X for å lagre og avslutte nano.

Deaktivere SSH -tjenesten

Mange innenlandske brukere anser SSH som ubrukelig, hvis du ikke bruker det i det hele tatt, kan du fjerne den, eller du kan blokkere eller filtrere porten.

På Debian Linux eller baserte systemer som Ubuntu kan du fjerne tjenester ved hjelp av APT Package Manager.
For å fjerne SSH -tjenestekjøringen:

Apt Fjern SSH

Trykk på Y hvis du blir bedt om å fullføre fjerningen.

Og det handler om innenlandske tiltak for å holde SSH trygge.

Jeg håper du fant denne opplæringen nyttig, fortsett å følge Linuxhint for flere tips og opplæringsprogrammer om Linux og nettverk.

Relaterte artikler:

• Hvordan aktivere SSH -server på Ubuntu 18.04 LTS
• Aktiver SSH på Debian 10
• SSH Port Videresending på Linux
• Vanlige SSH -konfigurasjonsalternativer ubuntu
• Hvordan og hvorfor å endre standard SSH -port
• Konfigurer SSH X11 Videresending på Debian 10
• Arch Linux SSH -serveroppsett, tilpasning og optimalisering
• Iptables for nybegynnere
• Arbeider med Debian Firewalls (UFW)