Ssh server для простых смертных (безопасное использованию сервера OpenSSH)

Для начало вспомним наши конфигурационные файлы:
/etc/ssh/sshd_config — конфигурационный файл сервера OpenSSH
/etc/ssh/ssh_config — конфигурационный файл клиентской части OpenSSH
~/.ssh/ – конфигурационная директория пользователей ssh.
Расмотрим несколько советов по безопасному использованию сервера OpenSSH.
Открываем наш конфиг и смотрим:
$ nano /etc/ssh/sshd_config
1. SSH порт, используемый по умолчанию: : TCP 22 ssh server, меняем так как многие brute forcing заточен под 22 порт и по крайней мере введет в заблуждения «кул хацкеров»
# What ports, IPs and protocols we listen for
Port 2280

По умолчанию sshd принимает подключения на всех интерфейсах, если не требуется заходить на сервер «из вне», то можно ограничить его нужным нам IP адресам, (например 192.168.100.1).
Внимание: это указание ssh-демону, какой ip-адрес использовать для входящих соединений. Т.е. если твой сервер имеет два интерфейса:
– внешний (подключение в Интернет) — с реальным ip-адресом,
– внутренний (локальная сеть) — с приватным (например 192.168.100.1) и ты хочешь, чтоб по ssh к серверу можно было добраться только c хостов, находящихся в локальной сети — в конфиге указываешь ListenAdress — адрес на котором сервер принимает запросы на соединение. И этот параметр не имеет почти никакого отношения к ограничению доступа к серверу по протоколу ssh !
ListenAddress 192.168.100.1
Дополнительно через двоеточие можно указать и номер порта. В данном примере используется значение порта, заданное глобально параметром Port.
2. Используйте только протокол SSH 2
Protocol 2
3. Ограничение доступа ssh server суперпользователя
В большинстве дистрибутивов в целях безопасности доступ суперпользователю(root) по SSH закрыт (PermitRootLogin no), и при попытке зарегистрироваться под root получаем сообщение об ошибке. Для выполнения задач, требующих привилегий администратора, приходится заходить под обычным пользователем и использовать su или sudo. Красиво выйти из ситуации поможет директива Match. В качестве аргумента ей передается критерий отбора (User, Group, Host, Address), его значение и параметр, который нужно применить. Для примера разрешим подключение под root только с localhost и из локальной подсети 192.168.100.0/24:
PermitRootLogin no
Match Host 192.168.100.*,127.0.0.1
PermitRootLogin yes

или просто запрещаем региться под root’oм
PermitRootLogin no
4. Ограничение доступа пользователей ssh server через SSH
Будет полезно всем, кто заводит пользователей в системе например для mail или ftp и etc,во многих системах по умолчанию пользователям разрешено иметь доступ через SSH с использованием пароля или открытого ключа.AllowUsers (пользователи, которым разрешен доступ).
Для того, чтобы доступ в систему через SSH был разрешен только пользователям user1,user2 и тд:
AllowUsers user1 user2
так же возможно использовать и такую конструкцию с IP-адресом
AllowUsers *@192.168.2.*
Так же можно, наоборот, разрешить всем пользователям, но для определенных запретить:
DenyUsers user10 user20
5. Авторизация и подключения
LoginGraceTime 45
Параметр LoginGraceTime определяет, по истечению какого времени простаивающее подключение будет разорвано (в секундах), т.е : позволенный для регистрации промежуток времени, за который надо ввести пароль, значение по умолчанию 120 явно завышено, думаю что будет 45 сек будет достаточно.
MaxStartups 2:50:10
Количество параллельных не идентифицированных подключений к серверу контролируется при помощи MaxStartups. Запись параметра имеет форму «start:rate:full». В нашем случае она означает отключение с вероятностью 50% при наличии двух не идентифицированных связей, с линейным ростом вероятности до 100% при достижении 10.
Для тех у кого будет много подключений по SSH можно сконфигурировать время закрытия неработающей сессии:
ClientAliveInterval 300
ClientAliveCountMax 0

устанавливаем таймаут в секундах (300 секунд = 5 минутам). После того, как указанное время истечет, бездействующий пользователь будет отключен от системы
6. Отключение прослушивания IPv6 адресов ssh server
ИМХО IPv6 пока ни неактуальный (по крайней мере, для меня), поэтому предлагаю его отключить
По умолчанию sshd слушает как на IPv4 так и на IPv6 адресах. Для того что бы его отключить необходимо изменить параметр AddressFamily (если значение AddressFamily не указано в конфигурационном файле, то оно принимается равным any):
AddressFamily any # default (IPv4 и IPv6)
AddressFamily inet # IPv4 only
AddressFamily inet6 # IPv6 only

Ну и на последок так же можно добавьте предупреждающий баннер, расскоментируйте строчку, в sshd_config, либо указать иной путь к своему баннеру :
Banner /etc/issue

Также можно ограничить доступ к нужному сервису через hosts

Edit /etc/hosts.allow and add your subnet

sshd : 192.168.0.

Edit /etc/hosts.deny , and deny all

ALL : ALL

(c)linuxjournal

Enable Root User on Ubuntu 16.04.1 LTS

Steps To Enable Root User On Ubuntu 16.04.1 LTS:

1) First of all login your account

2)Open terminal (Alt +Ctrl +T)

3)Set Root user Password 

technhit@technhit-virtual-machine:~$sudo passwd root
[sudo]password for technhit:
Enter UNIX password:
Retype UNIX password:
passwd:password updated successfully
technhit@technhit-virtual-machine:~$

enable-root-ubuntu1

4) Now open file 50-ubuntu.conf with nano command.

technhit@technhit-virtual-machine:~$sudo nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

enable-root-ubuntu2

5)Now Add the following line to the end of file:

greeter-show-manual-login=true

enable-root-ubuntu3

6) Press Ctrl +X then press Y to exit

7)Now restart your system and login as root.

enable-root-ubuntu4

Как установить TrueCrypt 7.1a-11 в Ubuntu/Linux mint

В репозитории доступна версия 7.1a-11 для Ubuntu 16.04/16.10/17.04, Linux mint 18 и другие.

Для его установки, откройте терминал(Ctrl+Alt+T), и введите команды

sudo add-apt-repository ppa:stefansundin/truecrypt
sudo apt update
sudo apt install truecrypt

После установки, найдите программу в меню приложений, и запустите

truecrypt

Windows 10: Как установить и активировать Ubuntu Bash

В Windows 10 с выпуском Anniversary Update появилась нативная поддержка среды Ubuntu Bash. Эта новость вызвала настоящее ликование у разработчиков на конференции Build, ведь теперь им можно работать на одном компьютере как на двух и не нужно создавать виртуальную машину. Ниже — инструкция, как скачать на Windows 10 рабочую среду Ubuntu, активировать её и запустить. Это не сложно, но требует определённой последовательности действий.

Bash — это командная оболочка и скриптовый язык программирования. Этот инструмент используется компьютерщиками всего мира для написания скриптов, позволяющих автоматизировать выполнение рутинных задач и для создания простейших программ без графического интерфейса. Bash ценится за скорость работы и простоту использования.

1. Откройте системное приложение «Параметры», перейдите в раздел «Обновление и безопасность» и найдите подраздел «Для разработчиков». Нажмите на опцию, позволяющую активировать режим разработчика, согласитесь с условиями и подождите несколько секунд, пока Windows поменяет некоторые настройки.

2. Нажмите на кнопку поиска в панели задач и впишите «Включение или отключение компонентов Windows». Запустите найденную утилиту.

3. В открывшемся окне найдите «Подсистема Windows для Linux (бета-версия)» и установите галочку рядом с этим компонентом. Нажмите Ok.

4. Windows попросит вас перезагрузить устройство. Сделайте это. Во время перезагрузки в Windows 10 будет установлен нужный вам компонент.

5. Введите в поиске на панели задач слово «Bash» и запустите найденную утилиту. Откроется командная строка, в которой нужно вписать латинскую букву «y» для подтверждения установки Bash.

6. Приложение Bash будет скачано из магазина Windows и установлено на ваш компьютер, после чего вам потребуется создать новый аккаунт, указав имя пользователя и пароль.

7. По завершению этих действий впишите в поиске на панели задач «Bash на Ubuntu на Windows» — откроется командная строка для работы с Bash.

Casio будет платить Microsoft за использование Linux

Компания Casio заключила договор с Microsoft, согласно которому она обязуется выплачивать корпорации лицензионные отчисления за использование технологий Linux. Согласно условиям договора, Casio признает, что используемые ими технологии Linux нарушают патенты, имеющиеся в распоряжении Microsoft. Это является важным прецедентом и впоследствии может негативно сказаться на экосистеме Linux. Подписавшие договор стороны не разглашают сумму выплачиваемых отчислений и список патентов, которые были нарушены.

Отметим, что это уже не первая подобная сделка Microsoft. Недавно гиганту IT рынка начали выплачивать лицензионные отчисления компании, использующие платформу Android. Среди них Acer, ViewSonic, HTC, Velocity Micro, General Dynamics и прочие.

Единственными кто отказался от выплаты отчислений, оказались  Barnes and Noble и Samsung. Представители этих компаний заявили, что стоимость лицензирования существенно завышена, а сам договор абсурден. Похоже, что сейчас эта стратегия нашла свое применение относительно другого конкурента.

В 2007 году Microsoft уже заявляла о нарушении более 200 их патентов в открытом ПО от Linux. Однако инциденты ограничивались угрозами и формальными соглашениями о взаимном обмене интеллектуальной собственностью. Сделки по выплате лицензионных отчислений за использование Linux были заключены с компаниями Novell, Fuji-Xerox, Samsung и Xandros. Отказались от этих выплат Mandriva, Canonical и Red Hat. Как известно, никаких судебных разбирательств за этим не последовало.

 

ИсточникИсточник

Posts navigation

1 2
Scroll to top