Jak podnieść poziom bezpieczeństwa SSH?
Ten artykuł wyjaśnia, w jaki sposób można podnieść poziom bezpieczeństwa serwera SSH, korzystając z zaawansowanych ustawień. Pozwala to kontrolować aktywność klientów SSH, ustalać poziomy zaufania połączeń, izolować określonych użytkowników w katalogach oraz wprowadzać interwały dostępu, aby chronić serwer przed powszechnymi atakami na SSH. Przedstawiono kilka różnych opcji pozwalających na podniesienie poziomu bezpieczeństwa protokołu SSH wykorzystywanego o zdalnego zarządzania hostami.
Na kanale zaprezentowałem jak zainstalować openssh-server na Ubuntu 22.04 LTS. Pokazałem krok po kroku jak zainstalować oprogramowanie oraz jak podłączyć się do maszyny wirtualnej. W wielu dystrybucjach SSH zainstalowano automatycznie i nie trzeba wykonywać dodatkowych czynności. Jeśli jednak nie możesz się podłączyć do swojej maszyny w tym filmie znajdziesz podpowiedzi które pomogą Ci uzyskać dostęp.
Poniżej kilka porad dla zaawansowanych użytkowników.
Blokada logowania na konto root
Dobre praktyki związane z bezpieczeństwem systemów informatycznych stanowią o tym, że administrator powinien pracować na koncie imiennym ze standardowymi uprawnieniami. Dopiero w momencie potrzeby zmiany parametrów systemu ma nastąpić podniesienie uprawnień. Stąd podstawowy element konfiguracji SSH zakłada wyłączenie możliwości logowania użytkownika root. Można to zrobić poprzez edycję pliku /etc/ssh/sshd_config i zmianę:
#PermitRootLogin prohibit-passwordna
PermitRootLogin noPo tej zmianie należy wykonaj restart usługi tak żeby zmiany zostały wdrożone.
sudo systemctl restart sshd.serviceZmiana standardowego portu na którym działa SSH
Standardowa instalacja serwera SSH działa na porcie 22/tcp. Port można dowolnie zmienić, dlatego rozpatrując możliwości warto zastanowić się czy w Twoim środowisku jest to możliwe i faktycznie podniesie poziom bezpieczeństwa systemu. Modyfikację portu dokonasz poprzez edycję pliku /etc/ssh/sshd_config i zmianę standardowego portu:
#Port 22na nowy np. port 1234
Port 1234Pamiętaj u usunięciu znaku „#” na początku linii.
Dodatkowo jeśli w Twoim systemie zainstalowany jest lokalny firewall uwf zmodyfikuj reguły tak żeby komunikacja na porcie 1234 była możliwa:
sudo ufw allow 1234/tcp
sudo ufw reloadNa koniec pamiętaj o restarcie usługi SSH:
sudo systemctl restart sshd.serviceCzas bezczynności sesji
Bezczynne otwarte połączenie stanowi zagrożenie, ponieważ złośliwy użytkownik może uzyskać zdalny lub fizyczny dostęp sesji klienckiej i wykonać polecenia w imieniu użytkownika. Aby chronić użytkowników systemu, konfiguracja ClientAliveInterval sprawdza czy klient jest nadal aktywny. Gdy klient jest aktywny, odpowiada na wiadomość keepalive lub serwer powtarza proces w oparciu o wartość ClientAliveCountMax przed oznaczeniem klienta jako nieaktywnego i zamknięciem połączenia. Modyfikacji dokonasz poprzez edycję pliku /etc/ssh/sshd_config i zmianę:
#ClientAliveInterval 0Na wartość wyrażoną w sekundach, dla przykładu 180 sekund
ClientAliveInterval 180
oraz ilość prób wysłania zapytania keepalive
#ClientAliveCountMax 3na
ClientAliveCountMax 2Na koniec pamiętaj o restarcie usługi SSH:
sudo systemctl restart sshd.servicePowyższe opcje spowodują że realny czas braku aktywności klienta to 6 minut.
Maksymalna liczba prób logowania
Dobrą praktyką jest wskazanie, ile razy użytkownik może wpisać błędne hasło, zanim zostanie zablokowany dostęp do SSH. Włączenie tego parametru wpłynie na poprawę odporności usługi na atak typu brute-force. Modyfikacji dokonasz poprzez edycję pliku /etc/ssh/sshd_config i zmianę:
#MaxAuthTries 6na konkretną wartość np. 5
MaxAuthTries 5Po 5 nieudanych próbach logowania, SSH dla danego użytkownika zostanie zablokowane i ponowna poprawna próba połączenia będzie wymagać podjęcia działań ze strony administratora systemu.
Podsumowanie
Powyższe zmiany nie wyczerpują wszystkich możliwości, jednak w takim wydaniu znacząco wpłyną na poprawę bezpieczeństwa połączenia z usługą zdalnego zarządzania SSH a przez to też bezpieczeństwo całego zdalnego systemu.