Disabilitare la radice ssh su Debian

Felicia Giuliani
Disabilitare la radice ssh su Debian
Dal radice L'utente è universale per tutti i sistemi Linux e Unix, è sempre stata la vittima di Bruteforce preferita dagli hacker per accedere ai sistemi. Per bluteforcing un account non privilegiato, l'hacker deve imparare prima il nome utente e anche se il successo dell'attaccante rimane limitato a meno che non si utilizzi un exploit locale.Questo tutorial mostra come disabilitare l'accesso alla radice tramite SSH in 2 semplici passaggi.
  • Come disabilitare l'accesso alla radice SSH su Debian 10 Buster
  • Alternative per proteggere il tuo accesso SSH
  • Filtrando la porta SSH con iptables
  • Utilizzando gli involucri TCP per filtrare SSH
  • Disabilitazione del servizio SSH
  • Articoli Correlati

Come disabilitare l'accesso alla radice SSH su Debian 10 Buster

Per disabilitare l'accesso al root ssh è necessario modificare il file di configurazione SSH, su Debian lo è /etc/ssh/sshd_config, Per modificarlo utilizzando Nano Text Editor Run:

nano/etc/ssh/sshd_config

Su nano puoi premere Ctrl+W (dove) e tipo Permesso Per trovare la seguente riga:

#Permitrootlogin proibit-password

Per disabilitare l'accesso alla radice tramite SSH solo il disordine di quella linea e sostituire proibit-password per NO Come nella seguente immagine.

Dopo aver disabilitato la pressione di accesso alla radice Ctrl+X E Y per salvare ed uscire.

IL proibit-password L'opzione impedisce l'accesso alla password che consente solo l'accesso attraverso azioni di back-back come le chiavi pubbliche, prevenendo gli attacchi di forza bruta.

Alternative per proteggere il tuo accesso SSH

Limitare l'accesso all'autenticazione della chiave pubblica:

Per disabilitare l'accesso alla password consentendo solo l'accesso utilizzando una chiave pubblica Apri il /etc/ssh/ssh_config File di configurazione di nuovo in esecuzione:

nano/etc/ssh/sshd_config

Per disabilitare l'accesso alla password consentendo solo l'accesso utilizzando una chiave pubblica Apri il /etc/ssh/ssh_config File di configurazione di nuovo in esecuzione:

nano/etc/ssh/sshd_config

Trova la linea contenente Pubkeyautenticazione E assicurati che dice Come nell'esempio seguente:

Assicurarsi che l'autenticazione della password sia disabilitata trovando la riga contenente Passwordautenticazione, Se commentato il registrazione e assicurati che sia impostato come NO Come nella seguente immagine:

Quindi premere Ctrl+X E Y per salvare e uscire da nano text editor.

Ora, come utente che si desidera consentire a SSH l'accesso attraverso devi generare coppie di chiavi private e pubbliche. Correre:

ssh-keygen

Rispondi alla sequenza delle domande che lascia la prima risposta al valore predefinito premendo Invio, imposta la passphrase, ripeterlo e i tasti verranno archiviati ~/.SSH/ID_RSA

Generazione della coppia di chiavi RSA pubblica/privata.
Immettere il file in cui salvare la chiave (/root/.SSH/ID_RSA):
Immettere passphrase (vuoto per nessuna passphrase): Inserisci di nuovo la stessa passphrase:
La tua identificazione è stata salvata in /root /.SSH/ID_RSA.
La tua chiave pubblica è stata salvata in /root /.SSH/ID_RSA.pub.
L'impronta digitale chiave è:
Sha256: 34+uxvi4d3ik6ryoatdkt6raifclvlyzudrljwfbvgo root@linuxhint
L'immagine casuale della chiave è:
+---[RSA 2048]----+

Per trasferire le coppie di chiavi appena create puoi usare il SSH-Copy-ID comando con la seguente sintassi:

SSH-Copy-ID @

Modifica la porta SSH predefinita:

Apri il /etc/ssh/ssh_config File di configurazione di nuovo in esecuzione:

nano/etc/ssh/sshd_config

Supponiamo che tu voglia usare la porta 7645 anziché la porta predefinita 22. Aggiungi una riga come nell'esempio seguente:

Porta 7645

Quindi premere Ctrl+X E Y per salvare ed uscire.

Riavvia il servizio SSH eseguendo:

Servizio SSHD Riavvia

Quindi dovresti configurare iptables per consentire la comunicazione tramite la porta 7645:

iptables -t nat -a prerouting -p tcp - -dport 22 -j reindirizzamento --- to -port 7645

Puoi anche usare UFW (firewall semplice) invece:

UFW consenti 7645/TCP

Filtrando la porta SSH

Puoi anche definire le regole da accettare o rifiutare le connessioni SSH in base a parametri specifici. La seguente sintassi mostra come accettare le connessioni SSH da un indirizzo IP specifico usando iptables:

iptables -a input -p tcp -dport 22 - -source -J Accetta
iptables -a input -p tcp -dport 22 -j caduta

La prima riga dell'esempio sopra indica agli iptables di accettare le richieste TCP in entrata (input) alla porta 22 dall'IP 192.168.1.2. La seconda riga indica alle tabelle IP di rilasciare tutte le connessioni alla porta 22. Puoi anche filtrare l'indirizzo di origine per Mac come nell'esempio seguente:

iptables -i input -p tcp -dport 22 -m mac ! --Mac-Source 02: 42: DF: A0: D3: 8f
-J RIFEIE

L'esempio sopra rifiuta tutte le connessioni ad eccezione del dispositivo con indirizzo MAC 02: 42: DF: A0: D3: 8F.

Utilizzando gli involucri TCP per filtrare SSH

Un altro modo per gli indirizzi IP della whitelist per connettersi tramite SSH mentre rifiuta il resto è modificando gli host di directory.Nega e ospiti.consentire situato in /ecc.

Per rifiutare tutti gli host eseguiti:

nano /etc /host.negare

Aggiungi un'ultima riga:

SSHD: Tutto

Premere Ctrl+X e Y per salvare ed uscire. Ora per consentire host specifici tramite SSH Modifica il file /etc /host.Consenti, di modificarlo in esecuzione:

nano /etc /host.permettere

Aggiungi una riga contenente:

sshd:

Premere Ctrl+X per salvare e uscire Nano.

Disabilitazione del servizio SSH

Molti utenti domestici considerano inutile SSH, se non lo usi affatto puoi rimuoverlo o puoi bloccare o filtrare la porta.

Su Debian Linux o sistemi basati su come Ubuntu è possibile rimuovere i servizi utilizzando il gestore dei pacchetti APT.
Per rimuovere la corsa di servizio SSH:

Apt Rimuovi SSH

Premere Y se richiesto per terminare la rimozione.

E si tratta solo di misure domestiche per mantenere SSH al sicuro.

Spero che tu abbia trovato utile questo tutorial, continua a seguire Linuxhint per ulteriori suggerimenti e tutorial su Linux e Networking.

Articoli Correlati:

  • Come abilitare il server SSH su Ubuntu 18.04 LTS
  • Abilita SSH su Debian 10
  • SSH Port Forwarding su Linux
  • Opzioni di configurazione SSH comuni Ubuntu
  • Come e perché modificare la porta SSH predefinita
  • Configura inoltro SSH X11 su Debian 10
  • Impostazione, personalizzazione e ottimizzazione del server Arch Linux SSH
  • Iptables per principianti
  • Lavorare con Debian Firewalls (UFW)
Golang
Come usare le stringhe.Sostituisci la funzione in Golang - Esempi
Le corde.La funzione Sostituisci () in Golang sostituisce tutte le occorrenze di una sottostringa al...
Osea Martini
C ++
Cos'è il tipo di dati Char in C ++
In C ++ il tipo di dati Char rappresenta i dati nel modulo dei caratteri. Questa variabile richiede ...
Domiziano Conte
Salesforce
Salesforce Apex - Limiti del governatore
Tutorial su quali sono i limiti del governatore e su come possono essere gestiti per diversi scenari...
Piererminio De luca
Salesforce
Salesforce Data Loader
Domiziano Conte
AWS
Cos'è il processo batch e come usarlo in AWS?
Dr. Evita Damico
PHP
Come utilizzare la funzione delle strisce in PHP
Piererminio De luca
Powershell
Puoi spiegare la funzionalità del comando Get-Location di PowerShell?
Domiziano Conte
Powershell
Come usare Get-AddrincipalGroupMembership in PowerShell
Nunzia Martini
Powershell
Come utilizzare il cmdlet write-output in PowerShell?
Dr. Evita Damico
Programmazione C
Come stampare un indirizzo di una variabile nella programmazione C?
Nick Marini
Golang
Quali sono le costanti di Golang?
Dr. Ursula Marini
PHP
Come usare mentre loop in PHP?
Nick Marini
Golang
Come usare il tempo.Funzione del sonno in golang
Sig. Valdo Marchetti