Seit der Wurzel Der Benutzer ist universell für alle Linux- und UNIX -Systeme Es war immer das bevorzugte Bruteforce -Opfer von Hackern, um auf Systeme zuzugreifen. In Bruteforce ein nicht privilegiertes Konto, muss der Hacker zuerst den Benutzernamen lernen, und selbst wenn der Nachfolger des Angreifers begrenzt bleibt, es sei denn, ein lokaler Exploit verwendet.Dieses Tutorial zeigt, wie der Root -Zugriff in 2 einfachen Schritten durch SSH deaktiviert wird.

• So deaktivieren Sie den SSH -Root -Zugang auf Debian 10 Buster
• Alternativen zur Sicherung Ihres SSH -Zugangs
• Filterung des SSH -Anschlusses mit Iptables
• Verwenden von TCP -Wrappern zum Filtern von SSH
• Deaktivieren des SSH -Dienstes
• In Verbindung stehende Artikel

So deaktivieren Sie den SSH -Root -Zugang auf Debian 10 Buster

Um den SSH -Root -Zugriff zu deaktivieren, müssen Sie die SSH -Konfigurationsdatei auf Debian bearbeiten /etc/ssh/sshd_config, So bearbeiten Sie es mit dem Nano -Texteditor:

Nano/etc/ssh/sshd_config

Auf Nano können Sie drücken Strg+w (wo) und Typ Erlaubnisroot Um die folgende Zeile zu finden:

#PermitRootlogin Prohibit-Passwort

Um den Stammzugriff über SSH zu deaktivieren Verbot-Passwort für NEIN Wie im folgenden Bild.

Nach dem Deaktivieren des Root Access Press Strg+x Und Y Zu speichern und beenden.

Der Verbot-Passwort Die Option verhindert die Anmeldung des Kennworts, sodass sich nur Fall-Back-Aktionen wie öffentliche Schlüsseln anmelden können, um Brute-Force-Angriffe zu verhindern.

Alternativen zur Sicherung Ihres SSH -Zugangs

Beschränken Sie den Zugriff auf öffentliche Schlüsselauthentifizierung:

So deaktivieren Sie die Passwort -Anmeldung, sodass sich nur eine öffentliche Taste anmelden können /etc/ssh/ssh_config Konfigurationsdatei erneut durch Ausführen:

Nano/etc/ssh/sshd_config

So deaktivieren Sie die Passwort -Anmeldung, sodass sich nur eine öffentliche Taste anmelden können /etc/ssh/ssh_config Konfigurationsdatei erneut durch Ausführen:

Nano/etc/ssh/sshd_config

Finden Sie die enthaltene Linie PubkeyAuthentication und stellen Sie sicher, dass es sagt Ja Wie im folgenden Beispiel:

Stellen Sie sicher PasswortAuthentication, Wenn es kommentiert wird und sicherstellen, dass es als festgelegt ist NEIN Wie im folgenden Bild:

Dann drücken Strg+x Und Y Um den Nano -Texteditor zu speichern und zu beenden.

Als Benutzer möchten Sie nun SSH -Zugriff über Sie ermöglichen, dass Sie private und öffentliche Schlüsselpaare generieren müssen. Laufen:

ssh-keygen

Beantworten Sie die Fragensequenz und lassen Sie die erste Antwort die Standardeinstellung, indem Sie die Eingabetaste drücken, Ihre Passphrase einstellen, wiederholen und die Schlüssel werden gespeichert bei ~/.ssh/id_rsa

Generieren von öffentlichem/privatem RSA -Schlüsselpaar.
Geben Sie die Datei ein, in der der Schlüssel speichert werden kann (/root/.ssh/id_rsa):
Geben Sie Passphrase ein (leer für keine Passphrase): Geben Sie erneut die gleiche Passphrase ein:
Ihre Identifizierung wurde in /root /gespeichert /.ssh/id_rsa.
Ihr öffentlicher Schlüssel wurde in /root /gespeichert /.ssh/id_rsa.Pub.
Der Schlüsselfingerabdruck ist:
SHA256: 34+uxvi4d3ik6Ryoatdkt6raifclvlyZudrljwfbvgo root@linuxHint
Das Randomart -Bild des Schlüssels lautet:
+---[RSA 2048]----+

Um die gerade erstellten Schlüsselpaare zu übertragen, können Sie die verwenden ssh-copy-id Befehl mit der folgenden Syntax:

ssh-copy-id @

Ändern Sie den Standard -SSH -Port:

Öffne das /etc/ssh/ssh_config Konfigurationsdatei erneut durch Ausführen:

Nano/etc/ssh/sshd_config

Angenommen, Sie möchten den Port 7645 anstelle des Standardports 22 verwenden. Fügen Sie eine Zeile wie im folgenden Beispiel hinzu:

Port 7645

Dann drücken Strg+x Und Y Zu speichern und beenden.

Starten Sie den SSH -Dienst neu, indem Sie ausführen:

Service SSHD Neustart

Dann sollten Sie Iptables konfigurieren, um die Kommunikation über Port 7645 zu ermöglichen:

iptables -t nat -a prerouting -p tcp - -dort 22 -J Redirect - -zu -Port 7645

Sie können stattdessen auch UFW (unkomplizierte Firewall) verwenden:

UFW erlauben 7645/TCP

Filterung des SSH -Anschlusses

Sie können auch Regeln definieren, um SSH -Verbindungen gemäß bestimmten Parametern zu akzeptieren oder abzulehnen. Die folgende Syntax zeigt, wie SSH -Verbindungen von einer bestimmten IP -Adresse mit Iptables akzeptiert werden:

Iptables -a Eingabe -p TCP - -dort 22 -Source -J Akzeptiere
iptables -a Eingabe -p tcp - -dort 22 -j Drop

Die erste Zeile des obigen Beispiels weist Iptables an, eingehende TCP -Anforderungen an Port 22 aus der IP 192 zu akzeptieren.168.1.2. Die zweite Zeile weist die IP -Tabellen an, alle Verbindungen in Port 22 zu fallen. Sie können die Quelle auch wie im folgenden Beispiel nach MAC -Adresse filtern:

iptables -i input -p tcp - -dort 22 -m mac mac ! --Mac-Source 02: 42: df: a0: d3: 8f
-J ablehnen

Das obige Beispiel lehnt alle Verbindungen mit Ausnahme des Geräts mit MAC -Adresse 02: 42: DF: A0: D3: 8F ab.

Verwenden von TCP -Wrappern zum Filtern von SSH

Eine andere Möglichkeit zu Whitelist IP -Adressen, die sich über SSH verbinden können, während der Rest abgelehnt wird, besteht darin, die Hosts der Verzeichnisse zu bearbeiten.leugnen und Gastgeber.zulassen in /etc.

Alle Hosts abzulehnen: Run:

Nano /etc /Hosts.leugnen

Fügen Sie eine letzte Zeile hinzu:

SSHD: Alles

Drücken Sie Strg+X und Y, um zu speichern und zu beenden. Damit bestimmte Hosts über SSH die Datei /etc /hosts bearbeiten können.Erlauben Sie, es zu bearbeiten

Nano /etc /Hosts.erlauben

Fügen Sie eine Zeile hinzu, die enthält:

SSHD:

Drücken Sie Strg+X, um Nano zu speichern und zu beenden.

Deaktivieren des SSH -Dienstes

Viele inländische Benutzer betrachten SSH als nutzlos. Wenn Sie es überhaupt nicht verwenden, können Sie es entfernen oder den Port blockieren oder filtern.

Unter Debian Linux oder basierten Systemen wie Ubuntu können Sie Dienste mit dem APT -Paketmanager entfernen.
Um den SSH -Dienst zu entfernen:

Apt entfernen SSH

Drücken Sie Y, wenn Sie aufgefordert werden, die Entfernung zu beenden.

Und es geht um häusliche Maßnahmen, um SSH sicher zu halten.

Ich hoffe, Sie haben dieses Tutorial nützlich gefunden. Folgen Sie weiterhin LinuxHint für weitere Tipps und Tutorials unter Linux und Networking.

In Verbindung stehende Artikel:

• So aktivieren Sie SSH Server auf Ubuntu 18.04 LTS
• Aktivieren Sie SSH auf Debian 10
• SSH -Portweiterleitung unter Linux
• Gemeinsame SSH -Konfigurationsoptionen Ubuntu
• Wie und warum, um den Standard -SSH -Port zu ändern
• Konfigurieren Sie die SSH X11 -Weiterleitung auf Debian 10
• Arch Linux SSH Server -Setup, Anpassung und Optimierung
• Iptables für Anfänger
• Arbeiten mit Debian Firewalls (UFW)