# » course » networking-professional » Linux.04

L04. Instalacja i konfiguracja serwera SSH

Pierwszą usługą (ang. service, w systemach unixopodobnych nazywanych też demonami ang. deamon) sieciową jaką uruchamia się zazwyczaj na serwerze jest dostęp zdalny (ang. remote access). Realizujemy go poprzez SSH.

SSH (ang. secure shell) umożliwia bezpośrednie zarządzanie serwerem – sam SSH jest protokołem komunikacyjnym pozwalającym na zdalne połączenie z serwerem. Do połączenia można wykorzystać w przypadku systemów z rodziny Microsoft Windows popularny darmowy klient o nazwie PuTTY.

Systemem operacyjnym Linux w całości da się zarządzać z poziomu konsoli (tekstowo) i przeważnie nie ma potrzeby uzyskiwania zdalnego dostępu do środowiska graficznego (poprzez protokoły RDP lub VNC), wystarczy więc połączenie zdalne do powłoki.

4.1 Instalacja serwera SSH

Po wcześniejszym zaktualizowaniu repozytoriów instalujemy serwer SSH:

# apt install openssh-server

Po udanej instalacji serwer SSH powinien działać jako usługa możemy sprawdzić jego stan poleceniem service lub systemctl:

# service ssh status
[ ok ] sshd is running.

Jeśli serwer SSH po instalacji był by wyłączony, można użyć także polecenia service aby go uruchomić:

# service ssh status
[FAIL] sshd is not running ... failed!
# service ssh start
[ ok ] Starting OpenBSD Secure Shell server: sshd.

4.2 Zabezpieczenie serwera SSH

Serwer z uruchomioną usługą zdalnego logowania zawsze jest potencjalnym celem ataków, aby się w miarę skutecznie przed nimi bronić powinniśmy stosować się do kilku zasad i wprowadzić pewne zmiany w domyślnej konfiguracji serwera SSH. Edytujemy plik /etc/ssh/sshd_config.

UWAGA
Niektóre z zaproponowanych zmian mogą spowodować brak możliwości zdalnego logowania do serwera.

• Zawsze stosuj silne hasła - zwłaszcza dla użytkownika root oraz wszystkich którzy mogą logować się przez SSH i uzyskać uprawnienia przez polecenie sudo dla zabezpieczenia się przed atakami siłowymi (ang. bruteforce) i słownikowymi.
• Zmień domyślny port SSH z 22 na dowolny > 1024, np. 2212 aby uchronić się przed atakami typu bruteforce.

  Port 2212

  Po zmianie portu nasłuchującego usługi konieczne będzie również zmienienie ustawień przekierowania portów.
• Zabroń logowania się przez SSH na konto root-a,

  PermitRootLogin no

• Zezwól na łączenie się tylko konkretnym użytkownikom lub z konkretnych hostów (jeżeli jesteś wstanie je określić).
• Zezwól na łączenie się do serwera tylko na wskazany adres IP (jeżeli serwer posiada dwie karty sieciowe i posiada dwa adresy IP, to pozwalamy tylko na nasłuchiwanie na konkretnych wybranych interfejsach), np.

  ListenAddress 192.168.4.63

  spowoduje, że system będzie oczekiwał na ruch przychodzący na adresie 192.168.4.63 (domyślnie jest to adres 0.0.0.0 oznaczający dowolny adres - czyli nasłuchiwanie odbywa się na wszystkich interfejsach sieciowych)
• Utwórz konto o innej nazwie wyłącznie do celów administracyjnych, zamiast konta root np. admin z którego później będzie można się przełączyć na konto root-a za pomocą komendy: su lub też wykonać polecenie z uprawnieniami root'a za pomocą: sudo (także dla zabezpieczenia przed atakiem typu bruteforce); tworzenie konta i dodanie konta do grupy sudo:
  

  
  # useradd admin -m -s /bin/bash
  # usermod admin -a -G sudo
  

UWAGA
Istnieje dodatkowa treść. Wymaga jednak dopowiedniego poziomu dostępu!