Серия постов на тему защиты SSH
Ну как перевесить порт напишу прямо тут, потому что просто и пришел я именно к этому. Какая разница port knocking или другой порт, если это защита от брутфорса.
- Следим за китайцами - защищаем SSH настройкой fail2ban и оповещениями через logheck.
- Делаем port knocking - сделаем брутфорс SSH невозможным.
- Перевешиваем порт
Ну как перевесить порт напишу прямо тут, потому что просто и пришел я именно к этому. Какая разница port knocking или другой порт, если это защита от брутфорса.
Основной проблемой все равно становится наличие клиента с возможностью выбора порта (привет iOS!), благо на используемом Android и всех компьютерах такая возможность есть.
Правим /etc/ssh/sshd_config и меняем опцию Port на любое число от 1 до 65535.
Там же кстати стоит поправить опцию PermitRootLogin с yes на no, что запретит пользователю root вход по SSH, то что предварительно создайте обычного пользователя и добавьте в группу sudo выполнив
gpasswd -a имя_пользователя sudo
Теперь нужно заходить через него и читать про sudo.
Ах да, после действий с sshd_config необходимо выполнить
Ах да, после действий с sshd_config необходимо выполнить
service ssh restartНу тащемта это понятно.
Комментариев нет:
Отправить комментарий