Изначально отключите вход по паролю и переключитесь на аутентификацию по ключам. Такой подход значительно повышает уровень защиты вашей системы, исключая риск взлома с помощью подбора паролей. Создайте уникальный публичный и приватный ключи с применением強ых алгоритмов, например, RSA или ED25519, и настройте их использование в конфигурационном файле SSH.
Обязательно ограничьте доступ к SSH только необходимым IP-адресам или диапазонам. Для этого внесите изменения в настройки файрволла или используйте секцию AllowUsers/AllowGroups в файле sshd_config. Это уменьшит потенциальные точки входа и обезопасит сервер от несанкционированных подключений.
Не забывайте регулярно обновлять программное обеспечение SSH и операционную систему. Обновления содержат исправления уязвимостей, устранение которых значительно снижает риск сложных атак. Обеспечьте автоматическую установку критических обновлений или планируйте проверку вручную.
Обеспечение безопасного хранения и использования SSH-ключей
Храните приватные SSH-ключи на защищенных устройствах с активированной шифровкой диска и использованием сложных паролей. Регулярно меняйте ключи и избегайте использования одинаковых паролей для разных систем.
Используйте менеджеры ключей, такие как ssh-agent, чтобы временно хранить приватные ключи в памяти и избегать постоянного ввода пароля при каждом подключении. Настройте автоматическую блокировку менеджера после определенного периода бездействия.
Создавайте уникальные пары ключей для каждого сервера или сервиса, что снизит риски в случае компрометации одного из них. Перед использованием храните публичные ключи в надежных репозиториях, а приватные – только на доверенных устройствах.
Ограничьте права доступа к файлам с ключами, устанавливая только владельцу права чтения и записи (chmod 600). Проверяйте наличие нежелательных сторонних копий или копий в облачных хранилищах, избегая их использования для хранения ключей.
Обеспечьте безопасное удаление ключей с устройств, которые уже не используются или с которых требуется закрыть доступ, используя утилиты типа shred или спецоперации для полной перезагрузки дисков.
Создавайте резервные копии приватных ключей в зашифрованных архивах, храните их на внешних носителях, недоступных по сети. Регулярно повторяйте процедуры резервирования, чтобы не потерять доступ к системам в случае сбоя.
Следите за обновлением программного обеспечения SSH и используйте последние версии, поскольку они исправляют возможные уязвимости и повышают уровень защиты ключей.
Обучайте сотрудников правилам безопасного обращения с SSH-ключами, подчеркивая необходимость избегать обмена файлами по незашищенным каналам и хранить приватные ключи отдельно от публичных.
Настройка файрвола и ограничение доступа по IP-адресам
Для повышения безопасности SSH включите правило в файрволе, разрешающее входящие соединения только с доверенных IP-адресов. Используйте команду iptables или ufw для создания списка допустимых адресов. Например, для ufw выполните команду: sudo ufw allow from 192.168.1.100 to any port 22, чтобы разрешить доступ только с IP-адреса 192.168.1.100.
Если необходимо разрешить несколько IP-адресов или диапазонов, добавьте соответствующие правила, избегая открытых портов для всех. В случае использования iptables используйте синтаксис вроде: iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 22 -j ACCEPT, блокируя остальные адреса по умолчанию.
Задайте политику по умолчанию для входящих соединений, чтобы блокировать все, что не входит в список разрешенных. Например, команда: ufw default deny incoming закроет все порты, кроме тех, что явно разрешены.
Обновляйте список доверенных IP-адресов при добавлении новых сотрудников или служб. Используйте динамическое управление списками через сценарии или специализированные инструменты для автоматизации этого процесса.
Регулярно проверяйте журналы доступа для выявления несанкционированных попыток соединения. Это поможет своевременно реагировать на возможные угрозы и корректировать список разрешенных IP-адресов.
Усиление конфигурации SSH: отключение входа по паролю и использование ключей
Для повышения уровня безопасности SSH необходимо отключить вход по паролю и полностью перейти на аутентификацию с помощью SSH-ключей. В файле конфигурации /etc/ssh/sshd_config установите параметр PasswordAuthentication в значение no. Это запретит возможность входа с использованием пароля, что исключит риск взлома через подбор паролей или их простые комбинации.
Перед этим рекомендуется сгенерировать пару ключей на клиентской машине командой ssh-keygen -t rsa -b 4096 -C "ваш_email@домен.com". После генерации загрузите публичный ключ на сервер командой ssh-copy-id user@server или вручную добавьте содержимое id_rsa.pub в файл ~/.ssh/authorized_keys на сервере. Убедитесь, что права на файлы и каталоги в ~/.ssh соблюдают строгие требования: папка .ssh должна иметь права 700, а файл authorized_keys – 600.
После внесения изменений в конфигурацию перезапустите SSH-сервер командой sudo systemctl restart sshd. Проверьте, что вход по паролю отключен, подключившись с другого терминала. Использование ключей исключает возможность перебора паролей и существенно усложняет несанкционированный доступ.
Дополнительно рекомендуется использовать фразы-пароли для приватных ключей и хранить их в безопасных местах. Такой подход обеспечивает многоуровневую защиту и минимизирует риск компрометации центральных элементов системы.
Настройка журналирования и мониторинга подключений SSH
Активируйте встроенный журнал SSH, чтобы записывать все подключения и события. В файле конфигурации /etc/ssh/sshd_config установите параметр LogLevel в значение VERBOSE, чтобы фиксировать подробные сведения о каждом подключении, включая IP-адреса и использование ключей.
Используйте системный менеджер журналов, например, syslog или journald, для централизованного хранения логов SSH. Настройте их так, чтобы сохранять журналы в отдельные файлы и ограничивать доступ к ним.
Регулярно проверяйте файлы журналов на наличие необычной активности – попыток неправильного входа, неавторизованных подключений или частых повторных попыток входа.
Настройте автоматические оповещения или скрипты, реагирующие на определённые события, например, блокировку IP-адресов с частыми неудачными попытками входа.
Для полноценного мониторинга используйте инструменты анализа логов, например, fail2ban или logwatch, которые помогут отслеживать suspicious activity и реагировать автоматически.
Храните логи на защищённых серверах или в системах централизованного логирования с ограниченным доступом, чтобы предотвратить их удаление или изменение злоумышленниками.