Skip to content

Server start: Beskyt OpenSSH på Ubuntu

Et nærbillede af en computerserver, der kører OpenSSH.
Guides
Linux

Introduktion

Denne serie er en del af 4 guides!

Når du opretter en ny Ubuntu server, bør du udføre nogle vigtige konfiguration trin som en del af den indledende opsætning. Disse trin vil øge sikkerheden og anvendeligheden af din server. – Denne guide omhandler OpenSSH sikkerhed.

Inden vi går i gang

I denne guide skal vi rette nogle ting i din OpenSSH konfiguration for at forbedre din servers overordnede sikkerhed.

Disse indstillinger vi bruger i denne guide, er nogle generelle sikkerheds indstillinger, der passer til de fleste servere.

Du vil primære redigere i din OpenSSH-konfigurationsfil i /etc/ssh/sshd_config

Før du fortsætter, er det en god idé at lave en sikkerhedskopi af din eksisterende konfigurationsfil, så du kan gendanne din config i det tilfælde, at noget går galt.

Opret en sikkerhedskopi af filen ved hjælp af følgende kommando:

				
					sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Dette vil gemme en sikkerhedskopi af din SSH-konfiguration som, du kan finde her: “/etc/ssh/sshd_config.bak”

Hvis har brug gendanne filen, kan du kopiere din backup fil tilbage med følgene kommando

				
					cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config

Når du har kopieret filen tilbage, skal du genstarte OpenSSH serveren og det hele skulle være lige som før!

Du kan nu starte med at åbne din SSH-konfiguration med nano eller din din foretrukne teksteditor.

Bemærk: SSH-konfigurationen har i de nyere versioner af Ubuntu mange standardindstillinger vi anvender.

				
					sudo nano /etc/ssh/sshd_config

Når du redigerer din konfigurationsfil, kan nogle indstillinger være kommenteret ud som standard med et enkelt hash-tegn (#) i starten af linjen. Det vil

sige denne indstilling ikke bliver brugt.

Du kan også ved at fjerne hash-tegn aktivere en indstilling igen.

Den sidste mulighed kan også være du skal ændre en værdi som f.eks. Yes til No osv.

Lad os komme i gang!

Den første indstilling vi skal rette er at lave OpenSSH port nummeret om!

Som standart er den 22/tcp, rent sikkerhedsmæssigt vil det være en god ide, hvis du vælger en anden port som ikke er brug.

Jeg bruger f.eks: Port 5522 i dette test setup.

find “#Port 22″ og ret den til din ønskede port.

				
					Port 5522

HUSK at åbne den nye port til OpenSSH i servers firewall (UFW  i dette tilfælde) ved at skrive:

				
					sudo ufw allow 5522/tcp

Den næste indstilling vi skal rette er, at deaktivere ROOT login via SSH – Dette gør vi ved at rette “PermitRootLogin” til følgende

				
					Ret 

PermitRootLogin yes

til

PermitRootLogin no

Denne indstilling vil forhindrer en potentiel BOT eller en anden ”ond person” i at logge direkte på din server som ROOT.

Normalt er det også til en god sikkerhedspraksis fra din side som administrator.

Normalt logger man ind med en ikke-privilegeret bruger! (I mit tilfælde “Bobby” – Bobby har SUDO rettigheder) Hvis du har brug for flere rettigheder, kan du bruge SUDO foran dine kommandoer – Læs evt. denne guide

Brug kun SUDO når det er absolut nødvendigt!

Dernæst kan du begrænse det maksimale antal godkendelsesforsøg for en bestemt login-session ved at konfigurere ”MaxAuthTries”

				
					Ret: 

#MaxAuthTries 6

til 

MaxAuthTries 3

En standardværdi på 3 er acceptabel for de fleste servere, men du kan vælge at sætte det højere eller lavere afhængigt af hvor sikker din servers sikkerhed skal være.

Hvis det kræves, kan du også indstille ”LoginGraceTime”, er den tid en bruger har til at fuldføre sit login efter den første forbindelse til din SSH-server.

LoginGraceTime tiden er normal angivet i sekunder!

				
					Ret 

#LoginGraceTime 2m

til

LoginGraceTime 20

Ved at sætte “LoginGraceTime” til en lavere værdi, hjælper med at forhindre visse denial-of-service attacks (DDos), hvor flere sessioner holdes åbne i længere tid.

Hvis du har konfigureret SSH-nøgler til godkendelse, i stedet for at bruge adgangskoder, skal du deaktivere SSH-adgangskodegodkendelse for at forhindre en lækket brugeradgangskode i at tillade en hacker at logge på.

				
					Ret 

#PasswordAuthentication yes

til

PasswordAuthentication no

I de fleste tilfælde vil OpenSSH blive konfigureret med SSH-nøgler som den eneste godkendelsesmetode!.

OpenSSH-serveren understøtter dog også mange andre godkendelsesmetoder, hvor af i nogle er aktiveret som standard.

Hvis disse iindstillinger kke er nødvendige, kan du deaktivere dem for yderligere at reducere angreb på din SSH-server!

Sæt disse 3 linjer ind i din konfiguration fil (/etc/ssh/sshd_config)

				
					ChallengeResponseAuthentication no

KerberosAuthentication no

GSSAPIAuthentication no

Hvis du bruger nano, skal du trykke på CTRL+O for at gemme filen og trykke på ENTER – Tryk derefter på CTRL+X for at afslutte editoren.

Hvis du vil læse mere ovenstående loginmetoder, følg disse links. (De er på Engelske)

Inden du genstarter din OpenSSH server, og derved fjerner ROOT login, skal du være sikker på det har lavet en SUDO bruger, og kan logge ind denne bruger. Følg evt. denne guide

Du skal også være sikker på du har åbnet den nye OpenSSH port op i din firewall!

Du er nu ved at være færdig. Til sidst skal du tjekke om der er fejl i din OpenSSH konfiguration samt genstart din OpenSSH server.

				
					sudo sshd -t

samt

sudo systemctl reload sshd.service

Bedøm dette indlæg:

Hvor nyttigt var dette indlæg?

Vælg din bedømmelse

Gennemsnitlig bedømmelse? 0 / 5. Antal bedømmelser: 0

Ingen bedømmelser endnu! Vær den første til at bedømme dette indlæg.

Del dette indlæg:

PinterestLinkedInReddit

Kommentarer:

No comment yet, add your voice below!

Add a Comment

Tak, fordi du overvejer at poste en kommentar. Husk, at alle kommentarer modereres i henhold til vores kommentarpolitik som du finder HER

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Share to...
BlueskyBufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixNextdoorPinterestPocketPrintRedditSMSTelegramThreadsTumblrVKWhatsAppXingYummly