Introduktion
Denne serie er en del af 4 guides!
- Opret en SUDO bruger på Ubuntu
- Hostname, timezone, locales på Ubuntu
- Sådan konfigureres SSH-nøgler på Ubuntu
- Beskyt din OpenSSH server på Ubuntu (Denne Guide)
Når du opretter en ny Ubuntu server, bør du udføre nogle vigtige konfiguration trin som en del af den indledende opsætning. Disse trin vil øge sikkerheden og anvendeligheden af din server. – Denne guide omhandler OpenSSH sikkerhed.
Inden vi går i gang
I denne guide skal vi rette nogle ting i din OpenSSH konfiguration for at forbedre din servers overordnede sikkerhed.
Disse indstillinger vi bruger i denne guide, er nogle generelle sikkerheds indstillinger, der passer til de fleste servere.
Du vil primære redigere i din OpenSSH-konfigurationsfil i /etc/ssh/sshd_config
Før du fortsætter, er det en god idé at lave en sikkerhedskopi af din eksisterende konfigurationsfil, så du kan gendanne din config i det tilfælde, at noget går galt.
Opret en sikkerhedskopi af filen ved hjælp af følgende kommando:
Dette vil gemme en sikkerhedskopi af din SSH-konfiguration som, du kan finde her: “/etc/ssh/sshd_config.bak”
Hvis har brug gendanne filen, kan du kopiere din backup fil tilbage med følgene kommando
Når du har kopieret filen tilbage, skal du genstarte OpenSSH serveren og det hele skulle være lige som før!
Du kan nu starte med at åbne din SSH-konfiguration med nano eller din din foretrukne teksteditor.
Bemærk: SSH-konfigurationen har i de nyere versioner af Ubuntu mange standardindstillinger vi anvender.
Når du redigerer din konfigurationsfil, kan nogle indstillinger være kommenteret ud som standard med et enkelt hash-tegn (#) i starten af linjen. Det vil
sige denne indstilling ikke bliver brugt.
Du kan også ved at fjerne hash-tegn aktivere en indstilling igen.
Den sidste mulighed kan også være du skal ændre en værdi som f.eks. Yes til No osv.
Lad os komme i gang!
Den første indstilling vi skal rette er at lave OpenSSH port nummeret om!
Som standart er den 22/tcp, rent sikkerhedsmæssigt vil det være en god ide, hvis du vælger en anden port som ikke er brug.
Jeg bruger f.eks: Port 5522 i dette test setup.
find “#Port 22″ og tilret den til din ønskede port.
HUSK at åbne den nye port til OpenSSH i servers firewall (UFW i dette tilfælde) ved at skrive:
Den næste indstilling vi skal rette er, at deaktivere ROOT login via SSH – Dette gør vi ved at rette “PermitRootLogin yes” til.
Denne indstilling vil forhindrer en potentiel BOT eller en anden ”ond person” i at logge direkte på din server som ROOT.
Normalt er det også til en god sikkerhedspraksis fra din side som administrator.
Normalt logger man ind med en ikke-privilegeret bruger! (I mit tilfælde “Bobby” – Bobby har SUDO rettigheder) Hvis du har brug for flere rettigheder, kan du bruge SUDO foran dine kommandoer – Læs evt. denne guide
Brug kun SUDO når det er absolut nødvendigt!
Dernæst kan du begrænse det maksimale antal godkendelsesforsøg for en bestemt login-session ved at konfigurere ”MaxAuthTries”
Ret “#MaxAuthTries 6″
En standardværdi på 3 er acceptabel for de fleste servere, men du kan vælge at sætte det højere eller lavere afhængigt af hvor sikker din servers sikkerhed skal være.
Hvis det kræves, kan du også indstille ”LoginGraceTime”, er den tid en bruger har til at fuldføre sit login efter den første forbindelse til din SSH-server.
LoginGraceTime tiden er normal angivet i sekunder!
Ret #LoginGraceTime 2m til
Ved at sætte “LoginGraceTime” til en lavere værdi, hjælper med at forhindre visse denial-of-service attacks (DDos), hvor flere sessioner holdes åbne i længere tid.
Hvis du har konfigureret SSH-nøgler til godkendelse, i stedet for at bruge adgangskoder, skal du deaktivere SSH-adgangskodegodkendelse for at forhindre en lækket brugeradgangskode i at tillade en hacker at logge på.
Ret #PasswordAuthentication yes til
Som en extra indstilling relateret til adgangskoder, kan du også deaktivere godkendelse med tomme adgangskoder. Dette forhindrer login, hvis en brugers adgangskode er sat til en tom værdi
Ret #PermitEmptyPasswords no til
I de fleste tilfælde vil OpenSSH blive konfigureret med SSH-nøgler som den eneste godkendelsesmetode!.
OpenSSH-serveren understøtter dog også mange andre godkendelsesmetoder, hvor af i nogle er aktiveret som standard.
Hvis disse iindstillinger kke er nødvendige, kan du deaktivere dem for yderligere at reducere angreb på din SSH-server!
Sæt disse 3 linjer ind i din konfiguration fil (/etc/ssh/sshd_config)
Hvis du vil læse mere ovenstående loginmetoder, følg disse links. (De er på Engelske)
”X11Forwarding” giver dig en mulighed for at vise eksterne grafiske applikationer over en SSH-forbindelse, men dette bruges sjældent i praksis.
Deaktiver det, hvis du ikke kører et grafisk miljø på din server!
Ret ”X11Forwarding yes” til:
Endelig kan du deaktivere det verbose SSH-banner, der er aktiveret som standard, da det viser forskellige oplysninger om dit system, såsom operativsystemversionen – Det gør du ved at rette denne linje til:
Bemærk, at denne mulighed højst sandsynligt ikke allerede er til stede i konfigurationsfilen, så du skal muligvis tilføje den manuelt. Gem og afslut filen, når du er færdig. Hvis du bruger nano, skal du trykke på CTRL+O for at gemme filen og trykke på ENTER, når du bliver bedt om det med filnavnet. Tryk derefter på CTRL+X for at afslutte editoren.
Inden du gerdstarter din OpenSSH server, og derved fjerner ROOT login, skal du være sikker på det har lavet en SUDO bruger, og kan logge ind denne bruger. Følg evt. denne guide
Du skal også være sikker på du har åbnet den nye OpenSSH port op i din firewall!
