При первом подключении к серверу, нужно ответить «yes», что означает — мы доверяем этому серверу. Кроме того, при изменении ключа сервера, надо удалить старый ключ из файла known_hosts. Если аутентификация по ключу в силу каких-то причин невозможна, нужно как-то передать пароль ssh-клиенту. При подключении к серверу из shell-скрипта, нам нужно решить эти три задачи.

Первая задача

Для предотвращения атак «человек посередине» при подключении к серверу, ключ которого ещё не известен ssh-клиенту, будет показан «слепок ключа» (key fingerprint). Нам нужно сравнить этот слепок со слепком ключа сервера, который мы получили по надежному каналу связи. И только после этого ответить «yes» — мы доверяем этому серверу. Выглядит это примерно так:

Читать далее

Fail2ban — это бесплатный и широко используемый инструмент предотвращения вторжений с открытым исходным кодом, который мониторит файлы журналов на наличие IP-адресов, которые показывают вредоносные признаки, такие как слишком большое количество сбоев ввода паролей и многое другое, и запрещает их доступ (обновляет правила брандмауэра для отклонения этих IP-адресов). По умолчанию Fail2ban поставляется с фильтрами для различных сервисов, включая sshd.

В этой статье мы расскажем, как установить и настроить fail2ban для защиты SSH и повышения безопасности SSH-сервера от атак методом перебора на CentOS/RHEL 8.

Читать далее

Файловая система SSHFS (Secure Shell FileSystem) позволяет монтировать файловую систему удалённого сервера с помощью протокола SSH. Это может быть очень удобно, если вам надо передать на удалённый сервер много данных или скачать эти данные оттуда. Конечно, существует утилита scp, но иногда просматривать файловую систему в файловом менеджере намного удобнее.

Читать далее

Учетная запись root, то есть пароль и логин root, часто является целью хакеров по протоколу SSH. Доступ к учетный записи через root по протоколу SSH на сервере Linux, который работает в сети или, что еще хуже, в Интернете, может представлять серьезную угрозу безопасности системным администраторам.

Учетная запись root по протоколу SSH должна быть отключена во всех случаях, чтобы повысить безопасность вашего сервера. Вы должны войти в систему через SSH на удаленном сервере только с обычной учетной записи пользователя, а затем изменить права на учетную запись root с помощью команды sudo или su:

После входа в консоль откройте основной файл конфигурации SSH для редактирования с помощью вашего любимого текстового редактора, выполнив команду приведенную ниже. Основной файл конфигурации SSH обычно находится в каталоге /etc/ssh/ в большинстве дистрибутивов Linux.

В этом файле найдите строку «PermitRootLogin» и обновите строку, чтобы она выглядела как в приведенной ниже отрывке файла. В некоторых дистрибутивах Linux строке «PermitRootLogin» предшествует знак комментария (#), что означает, что строка закомментирована. В этом случае раскомментируйте строку, удалив знак # и установите для строки значение no.

После внесения вышеуказанных изменений сохраните и закройте файл. Затем перезапустите службу SSH, чтобы внесенные изменения вступили в силу.

Чтобы проверить, была ли новая конфигурация успешно применена, попробуйте войти в систему с учетной записью root на сервер по протоколу SSH из удаленной системы.

Вам должно быть отказано в доступе под учетной записью root по протоколу SSH.

Вот и все! Вы больше не сможете удаленно заходить на SSH-сервер с помощью учетной записи root используя пароль или с помощью механизмов проверки подлинности.