Methoden om SSH te beschermen tegen hacking. Hoe u een SSH-server kunt beschermen tegen brute force-aanvallen met behulp van fail2ban De standaardpoort wijzigen

Om onze server te beschermen tegen brute kracht van wachtwoorden, kunt u de hulpprogramma's sshguard of sshit gebruiken.

Werkprincipes.

sshguard en sshit werken volgens hetzelfde principe. Ze analyseren systeemberichten over onjuiste authenticatie en voeren, als een bepaalde waarde wordt bereikt, het aanvallende IP-adres in de blokkerende firewallregel in. Na een bepaalde tijd wordt het IP-adres uit de regel verwijderd.
Voor de werking is daarom een ​​geconfigureerde firewall vereist.

SSHGuard

sshguard kan ermee werken

  • Native firewall van AIX- voor IBM AIX-besturingssystemen
  • netfilter/iptables- voor Linux-gebaseerde besturingssystemen
  • Pakketfilter (PF)- voor BSD-besturingssystemen (Open, Free, Net, DragonFly -BSD)
  • IPFirewall (IPFW)- voor FreeBSD en Mac OS X
  • IP-filter (IPFILTER)- voor FreeBSD, NetBSD en Solaris
  • tcpd"s hosts_access (/etc/hosts.allow)- draagbaar binnen UNIX
  • nul- draagbare niets-doen-backend voor het toepassen van detectie maar niet voor preventie

Ik gebruik PF, dus er staan ​​voorbeelden in PF in deze notitie.

Sshguard installeren.

FreeBSD:

Installeren vanaf poorten

Cd /usr/ports/security/sshguard-pf/&& maak de installatie schoon

Als u om de een of andere reden geen poorten gebruikt, download dan de nieuwste versie van de sshguard-website en bouw deze handmatig

./configure --with-firewall=pf && make && make install

Debian:

apt-get installeer sshguard

Het besturingssysteem configureren om sshguard uit te voeren.

Maak een bestand om logboeken op te slaan

# touch /var/log/sshguard

Debian (piepgeluid):

Bewerk de volgende regel in //etc/default/sshguard

#mcedit /etc/default/sshguard #ARGS="-a 40 -p 420 -s 1200" ARGS="-a 5 -p 420 -s 2400 -b 5:/etc/sshguard/blacklist"

en start sshguard opnieuw
service sshguard opnieuw opstarten

FreeBSD:

We moeten twee regels toevoegen aan de PF-configuratie

Tafel volharden

We declareren een tabel waarin sshguard het IP-adres van robots invoert.

Blokkeer snel op $if0 proto tcp van

Eigenlijk zou de blokkeerregel zelf helemaal bovenaan het regelblok van het PF-configuratiebestand moeten worden gemarkeerd. $if0 is de interface waarop verbindingen worden geblokkeerd; om alle interfaces te blokkeren, vervangt u deze door een willekeurige.
Lees het configuratiebestand opnieuw

Auth.info;authpriv.info |exec/usr/local/sbin/sshguard

en herstart syslog

#/etc/rc.d/syslogd opnieuw opstarten

Na deze manipulaties zal sshguard feitelijk aanvallen met standaardparameters blokkeren.
Bij een aanval binnen /var/log/auth.log we zullen zoiets als het volgende zien

Jun1611:01:40 www sshd:Ongeldige gebruikerstest van61.172.251.183 Jun1612:29:48 www sshd:Ongeldige gebruikerstest van85.114.130.168 Jun1612:29:49 www sshd:Ongeldige gebruikerstest van85.114.130.168 Jun1612: 29:4 9 www sshd:Ongeldige gebruikerstest van85.114.130.168Jun1612:29:50 www sshd:Ongeldige gebruikerstest van85.114.130.168Jun1612:29:50 www sshguard:Blocking85.114.130.168:4for>420secs:4 mislukkingen voorbij 2 seconden.

Sshguard-opties configureren

sshguard heeft een aantal parameters die we kunnen overschrijven
-A het aantal mislukte authenticatiepogingen waarna het IP-adres wordt geblokkeerd. Standaard is 4.
-P na hoeveel seconden wordt het IP-adres gedeblokkeerd. De standaardwaarde is 420.
-S hoeveel seconden onthoudt sshguard het ip. De standaardwaarde is 1200. Om het duidelijker te maken: als er elke 30 minuten één aanval vanaf een IP plaatsvindt, wordt deze nooit verbannen met de standaardinstelling.
-w witte ip, netwerken of pad naar het witte adressenbestand. Het bestandsformaat is één regel - één invoer, # definieert opmerkingen.
-B bepaalt na hoeveel IP-blokken er aan de zwarte lijst worden toegevoegd en het pad ernaartoe. De zwarte lijst wordt geladen wanneer sshguard start en wordt niet automatisch gewist.

sshguard heeft geen configuratiebestand; parameters worden ingesteld wanneer sshguard start. In ons geval start sshguard syslog, dus bewerken we syslog.conf zodat sshguard het IP-adres blokkeert na drie mislukte authenticatiepogingen gedurende 30 minuten, en na vijf blokken op de zwarte lijst zet.

Auth.info;authpriv.info |exec/usr/local/sbin/sshguard -a 3-p 1500-b 5:/usr/local/etc/sshguard.blacklist

de eerste keer wordt het 420 seconden geblokkeerd en na 7 minuten verwijderd
de tweede keer op 2*420 y wordt na 14 minuten verwijderd
derde keer op 2*2*420 en verwijderd na 28 minuten, etc...
2^(N-1)*420 Nde keer.

Shit

Sshit is een perl-script, dus het is noodzakelijk dat het systeem over perl beschikt, evenals over 2 modules

  • IPC::Deelbaar
  • Proc::PID::Bestand

Sshit kan alleen werken met pf en ipfw.

Shit installeren

cd /usr/ports/security/sshit/&& maak de installatie schoon

sshit-configuraties.

Sshit heeft een configuratiebestand /usr/local/etc/sshit.conf waarin u de standaardwaarden kunt overschrijven.

FIREWALL_TYPE = "pf"; # Welke firewall gebruiken we MAX_COUNT =3; # Aantal mislukte authenticatiepogingen waarna het IP-adres WITHIN_TIME =60 wordt geblokkeerd; # Binnen hoeveel seconden moet het opgegeven aantal mislukte authenticaties plaatsvinden RESET_IP =300; # Na hoeveel seconden wordt het IP-adres gedeblokkeerd. PFCTL_CMD = "/sbin/pfctl"; PF_TABLE ="badhosts"#tabelnaam waar slechte ips zijn ingevoerd

Het besturingssysteem instellen zodat sshit werkt.

Naar analogie met de instellingen voor sshguard bewerken we het PF-configuratiebestand

Tafel blijf snel blokkeren op $if0 proto tcp van naar $if0 poort ssh-label "ssh brute"

lees het configuratiebestand opnieuw

#pfctl -f /etc/pf.conf

Syslog.conf bewerken

Auth.info;authpriv.info |exec/usr/local/sbin/sshit

en herstart syslog

SSH is een veilig protocol voor de overdracht van gegevens (opdrachten, bestanden, videosignalen, enz.) tussen computers.

Het is standaard ingeschakeld op VPS en dedicated servers van de meeste hostingproviders, omdat u hiermee eenvoudig en veilig een externe machine kunt beheren. Overigens kunt u goedkoop een VPS-server huren op de Well-Web-service. Omdat SSH op alle VPS is ingeschakeld, is een goede SSH-bescherming noodzakelijk om problemen bij het gebruik van Secure Shell te voorkomen.

Schakel toegang vanaf root uit

Allereerst wordt aanbevolen om de mogelijkheid om op afstand verbinding te maken met de machine onder het superuser-account (root) uit te schakelen. Om dit te doen, moet je het bestand sshd_config vinden, dat zich meestal (maar niet altijd) in de map /etc/ssh/ bevindt, en dit openen.

Daarin moet u het PermitRootLogin-item vinden en de waarde ervan vervangen door "no", dat wil zeggen dat u de volgende vermelding zou moeten krijgen:

VergunningRootLogin nr

Dit verhindert het hacken uiteraard niet, maar maakt het wel iets moeilijker.

Om de kans op hacking te minimaliseren, wordt aanbevolen om autorisatie met behulp van sleutels te gebruiken in plaats van login- en wachtwoordautorisatie. Dit kan op verschillende manieren. Dit is overigens ook een goede SSH-bescherming tegen brute kracht.

De standaardpoort wijzigen

Omdat het hacken van een server via SSH meestal gebeurt via het zoeken naar wachtwoorden (brute force), zou het rationeel zijn om de standaardpoort 22 te wijzigen in een andere poort. Dit is heel gemakkelijk te doen. Allereerst moet je het reeds genoemde sshd_config-bestand openen en daar een regel toevoegen:

Poort poort_nummer

De invoer ziet er bijvoorbeeld als volgt uit:

Poort 3048

Dit zal het aantal mensen dat ongeautoriseerde toegang tot de server wil verkrijgen aanzienlijk verminderen. Voordat u het poortnummer wijzigt, moet u ervoor zorgen dat dit andere toepassingen niet hindert. U moet ook een poort selecteren die nog niet in gebruik is, zodat programma's daardoor geen conflicten veroorzaken.

Beperking van IP-toegang

Een andere beschermingsmethode die de kans op ongeautoriseerde verbinding tot bijna nul zal terugbrengen, is het instellen van autorisatiebeperkingen. SSH kan zo worden geconfigureerd dat alleen externe machines met specifieke IP-adressen op de server kunnen inloggen. Om dit te doen, moet u in het sshd_config-bestand op de regel AllowUser @IP_number toevoegen aan de naam van elke gebruiker. De invoer zou er bijvoorbeeld zo uit kunnen zien:

Gebruikers toestaan [e-mailadres beveiligd], [e-mailadres beveiligd]

Voordat u deze methode gebruikt, is het raadzaam ervoor te zorgen dat er geen situaties zijn waarin u zich mogelijk bij de server moet aanmelden vanaf een machine waarvan het IP-adres niet door de configuratie wordt verstrekt.

Veilig wachtwoord

En natuurlijk moet u een wachtwoord gebruiken dat bestand is tegen brute kracht. Lang en met zoveel mogelijk verschillende symbolen, bij voorkeur met krakozyabrs. Dit is een must-have.

OpenSSH Hiermee kunt u op afstand verbinding maken met de server, bestanden manipuleren en het systeem beheren. Vandaag willen we het hebben over de beste methoden die de veiligheid van een op OpenSSH gebaseerd systeem zullen vergroten.

Configuratiebestanden

  • /etc/ssh/sshd_config- OpenSSH-serverconfiguratiebestand;
  • /etc/ssh/ssh_config- OpenSSH-clientconfiguratiebestand;
  • ~/.ssh/- map waarin SSH-instellingen van gebruikers worden opgeslagen;
  • ~/.ssh/authorized_keys of ~/.ssh/authorized_keys- een lijst met sleutels (RSA of DSA) die worden gebruikt om verbinding te maken met gebruikersaccounts;
  • /etc/nologin- als dit bestand in het systeem bestaat, zal sshd alle gebruikers behalve root verbieden verbinding te maken met het systeem;
  • /etc/hosts.allow en /etc/hosts.deny- verbodssysteem (onderdeel van de beveiliging). Werkt vergelijkbaar met ACL;
  • Standaard SSH-poort - 22

Niet nodig: schakel het uit

Als uw server geen externe SSH-verbindingen vereist, zorg er dan voor dat u deze uitschakelt. Op systemen als CentOS/RHEL gebeurt dit als volgt:

Chkconfig sshd uit yum erase openssh-server

Gebruik SSH versie 2

De eerste versie van het SSH-protocol kent beveiligingsproblemen die in de tweede versie worden verholpen. Gebruik daarom de tweede versie. Zorg ervoor dat de optie Protocol 2 is opgegeven in het bestand /etc/ssh/sshd_config.

Beperk SSH-toegang

Standaard hebben alle systeemgebruikers de mogelijkheid om via SSH verbinding te maken met het systeem. We raden aan om SSH-toegang om veiligheidsredenen te beperken. Om bijvoorbeeld SSH toe te staan ​​voor root-, merion- en netwerkgebruikers:

AllowUsers root-merion-netwerken

Aan de andere kant kunt u toegang verlenen aan alle gebruikers, behalve de opgegeven gebruikers:

DenyUsers root-merion-netwerken

Tijd van inactiviteit

Het is belangrijk om aan te geven op welk tijdstip de inactieve sessie wordt beëindigd (voltooid). Dit kan met de volgende opties:

ClientAliveInterval 300 ClientAliveCountMax 0

In deze instelling hebben we de inactiviteitstijd gespecificeerd op 300 seconden (5 minuten).

Over .rhosts-bestanden

Feit is dat dit bestand een lijst met hosts en gebruikers bevat. Als dit bestand een combinatie van host en gebruiker bevat, kan deze gebruiker via SSH verbinding maken met het systeem zonder om een ​​wachtwoord te vragen. We raden aan deze “geweldige” functie uit te schakelen:

NegeerRhosts ja

Geen hostgebaseerde authenticatie!

Zogenaamde Hostgebaseerde authenticatie Hiermee kan een gebruiker van een specifieke host verbinding maken met de server. Uitzetten:

HostbasedAuthenticatienr

Directe verbinding via root

VergunningRootLogin nr

Maak een spandoek

Maak voor elke verbinding een banner waarin je aanvallers kunt bedreigen die ongeautoriseerde toegang proberen te plegen. De parameter Banner is verantwoordelijk voor het instellen van de banner.

Poort 22 alleen van binnenuit!

Maak alleen toegang tot systeempoort 22 via een reeks firewallregels. Het is het beste om de toegang alleen binnen het LAN te laten. Bijvoorbeeld, binnen Iptables je kunt toegang geven tot 192.168.11.0/24:

A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Waar te luisteren

Standaard luistert SSH naar verbindingen op alle beschikbare interfaces. We raden u aan de standaardpoort te wijzigen en het IP-adres op te geven waarop op verbinding moet worden gewacht. We zullen bijvoorbeeld poort 962 en IP-adres 192.168.11.24 specificeren

Poort 962 Luisteradres 192.168.11.24

Cryptografisch sterke wachtwoorden

Gebruik sterke wachtwoorden. Er zijn veel tools op internet die online een cryptosterk wachtwoord kunnen genereren, gratis en zonder sms :)

Verbied lege wachtwoorden

Er zijn gebruikers zonder wachtwoord. Hun toegang tot SSH moet ook worden ontzegd via de optie:

Poort 962 PermitEmptyPasswords-nr

Analyseer logboeken

Stel de gebeurtenisregistratie in op de INFO- of DEBUG-modus - hierdoor krijgt u uitgebreide controle over het systeem:

LogLevel INFO

Was dit artikel nuttig voor u?

Vertel me alsjeblieft waarom?

Het spijt ons dat het artikel niet nuttig voor u was: (Als het niet moeilijk is, geef dan aan waarom? We zullen u zeer dankbaar zijn voor een gedetailleerd antwoord. Bedankt dat u ons helpt beter te worden!

In dit artikel zullen we kijken naar de basismethode om SSH tegen te beschermen massa Bruteforce-aanvallen. In dit geval betekent een massale bruteforce-aanval niet het gericht raden van wachtwoorden specifiek voor uw SSH, maar een uitgebreide registratie van een reeks servers voor daaropvolgende identificatie van login-wachtwoordparen die niet bestand zijn tegen raden.

De belangrijkste kenmerken van een massale SSH-bruteforce-aanval zijn het uitgebreid scannen van IP-bereiken op open poort 22 en het gebruik van veelgebruikte gebruikersnaam en wachtwoord (bijvoorbeeld root:passwd123, admin:server123, enz.).

Om statistieken uit de logbestanden van mislukte SSH-autorisatiepogingen op uw server te bekijken, voert u de opdracht in:

Cat /var/log/secure* | grep "Mislukt wachtwoord" | grep sshd | awk "(print $1,$2)" | sorteer -k 1,1M -k 2n | uniq-c

Deze schermafbeelding biedt statistieken over het aantal mislukte autorisaties per dag. Als u soortgelijke gegevens steelt, moet u stappen ondernemen om uw SSH te beschermen tegen enorme brute kracht.

1. Als jij niet gebruiken voor autorisatie, veelgebruikte gebruikersnamen zoals root, admin, administrator, user, etc. en gebruik een complex wachtwoord voor autorisatie, dan kunt u meteen doorgaan naar het tweede punt. Om het wachtwoord te wijzigen in een complexer wachtwoord, voert u de opdracht in:

Wachtwoord #uw_login#

Waar #uw login#- Je gebruikersnaam.
Bij het invoeren van een nieuw wachtwoord wordt het wachtwoord niet weergegeven, de cursor blijft op één plaats staan.

Laten we via SSH inloggen op de server, een nieuwe gebruiker aanmaken en hem een ​​wachtwoord geven, hiervoor voeren we de opdrachten in:

Adduser #nieuwegebruiker# passwd #nieuwegebruiker#

Waar #nieuwe gebruiker#— Je nieuwe gebruikersnaam, gebruik geen veelgebruikte gebruikersnaam als gebruikersnaam, een goede optie jouw_naambeheerder(bijvoorbeeld foxadmin, useralex, rootidler).

2. Log daarna in via SSH met een nieuwe gebruikersnaam en wachtwoord. En open de SSH-daemonconfiguratie (sshd_config) met de opdracht:

Vi /etc/ssh/sshd_config

Hierna zou je zoiets als dit moeten zien:

Lijnen beginnend met # zijn uitgecommentarieerd.

Naar bescherm SSH tegen enorme brute kracht, verwijder de opmerkingen en wijzig of voeg de volgende parameters toe bestand:
A) haven- de haven waarop SSHD accepteert en onderhoudt verbindingen. Verwijder commentaar (verwijder vóór het begin van de regel # ) en wijzig de standaardwaarde 22 , naar elke andere van 1024 tot 65536, behalve gereserveerde poorten - een lijst met gereserveerde poorten, bijvoorbeeld:

Haven 2022

Verwijderen # en wijzig de waarde poort 22, druk eerst op uw toetsenbord i, druk na het bewerken van de gewenste regel op de toets ESC

B) InloggenGraceTime— wachttijd voor gebruikersregistratie in het systeem. Als de gebruiker er niet in slaagt om binnen de door deze richtlijn toegewezen tijd in te loggen, wordt de sessie beëindigd. Laten we deze waarde verlagen:

InloggenGraceTime 1m

C) ToestemmingRootLogin- gebruiker toestaan wortel inloggen via SSH-protocol. Laten we veranderen naar Nee.

VergunningRootLogin nr

D) Gebruikers toestaan— gebruikersnamen die zijn toegestaan ​​voor inloggen via het SSH-protocol, gescheiden door een spatie. Hier geven we in plaats van #uw_login# de nieuw aangemaakte gebruikersnaam aan.

Gebruikers toestaan ​​#uw_login#

e) MaxAuthTries— aantal inlogpogingen per sessie. Wanneer het maximaal toegestane aantal pogingen is bereikt, wordt de sessie beëindigd.

MaxAuthTries 2

Als resultaat krijgen we:

Poort 2022 LoginGraceTime 1m PermitRootLogin nee AllowUsers #your_login# MaxAuthTries 2

In dit artikel voltooien we de installatie SSH ter bescherming tegen massa brute kracht. Na bewerking , druk op op het toetsenbord : , er verschijnt een regel hieronder en voer deze vervolgens in w en druk op de toets Binnenkomen. In dit geval worden alle aangebrachte wijzigingen opgeslagen.

Als u iets verkeerd heeft gedaan (bijvoorbeeld per ongeluk iets verwijderd), afsluiten zonder op te slaan gebruiken in plaats van een sneltoets w, sleutels Q!

Nadat u de SSH-installatie hebt voltooid, start u de daemon opnieuw op met het commando:

Service sshd opnieuw opstarten

Gebruik nu de nieuwe poort als u verbinding maakt via SSH 2022 (of degene die u hebt opgegeven in de instellingen). standaardpoort 22.

In het volgende artikel over het instellen van SSH wil ik u vertellen dat we wachtwoordauthenticatie zullen verbieden en alleen autorisatie zullen toestaan ​​met behulp van een privé SSH-sleutel, waardoor we onszelf zoveel mogelijk beschermen tegen het raden van wachtwoorden.

In contact met

In deze korte notitie heb ik manieren samengesteld om de beveiliging van een ssh-server te vergroten. De meest basale en eenvoudig uit te voeren technieken worden beschreven, en de complexere technieken zijn alleen bedoeld voor geïnteresseerde lezers.

Basistechnieken

Alle acties worden uitgevoerd in het sshd daemon-configuratiebestand - /etc/ssh/sshd_config. Hieronder zal ik een deel van mijn configuratiebestand voorzien van commentaar.

### Netwerk ### # We gebruiken een niet-standaard poort (>1024) poort 5679 # We gebruiken alleen IPv4-verbindingen # inet = IPv4, inet6 = IPv6, any = beide AddressFamily inet # Je kunt alleen verbindingen accepteren vanaf een bepaald IP-adres adressen #ListenAddress 0.0.0.0 # We gebruiken de tweede versie van het protocol, omdat de eerste is onderhevig aan # bekende Protocol 2-kwetsbaarheden # Schakel grafische omleiding (X-server) uit totdat # je deze expliciet nodig hebt X11Forwarding nee # Schakel TCPKeepAlive uit en gebruik in plaats daarvan ClientAliveInterval # om aanvallen zoals TCP Spoofing te voorkomen TCPKeepAlive nee # Kick de gebruiker na 10 minuten ( 600 sec) inactiviteit ClientAliveInterval 600 ClientAliveCountMax 3 ### Sleutelconfiguratiebestanden ### # HostKeys voor protocolversie 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # Gebruik een niet-bevoorrecht proces om binnenkomend van de client # te verwerken traffic # sandbox - openSSH >= 5.9 ("ja" - voor lagere versies) UsePrivilegeSeparation sandbox # Als u deze waarden wijzigt, moet de oude sleutel # /etc/ssh/ssh_host_rsa_key(,.pub) worden verwijderd en een nieuwe worden gemaakt # door sshd opnieuw te starten. # # Sleutellevensduur, d.w.z. Na welke tijd wordt er een nieuwe sleutel # gegenereerd als de vorige is gebruikt. KeyRegenerationInterval 1h # sleutelsterkte ServerKeyBits 2048 # Autorisatie toestaan ​​met behulp van een openbare sleutel PubkeyAuthentication ja # Opslaglocatie van vertrouwde sleutels in de gebruikersmap AuthorizedKeysFile .ssh/authorized_keys ### Logging ### # Prefix voor syslog SyslogFacility AUTH # berichtdetailniveau voor sshd zichzelf LogLevel INFO ### Authenticatie ### # lijst met toegestane gebruikers AllowUsers ivan # beperk de tijd voor het invoeren van het wachtwoord voor de ssh-sleutel LoginGraceTime 30s # verbied inloggen op afstand onder het root-account PermitRootLogin nee # Schakel expliciete controle van de rechten van bestanden in en mappen met ssh-sleutels StrictModes ja # Hoe vaak moet u om een ​​wachtwoord vragen als u het verkeerd invoert MaxAuthTries 3 # Verbied inloggen met een leeg wachtwoord PermitEmptyPasswords nee # Verbied inloggen met een wachtwoord in principe # (Gebruik in plaats daarvan een publieke/private sleutel) WachtwoordAuthenticatie nee # Schakel het gebruik van "challenge-response"-autorisatie uit, # omdat . het is nutteloos bij het gebruik van ChallengeResponseAuthentication-sleutels nee # Omdat we geen wachtwoord gebruiken, hebben we geen (PAM, login(1)) nodig UsePAM nee UseLogin nee # Sta de client toe alleen een bepaalde set omgevingsvariabelen door te geven # RH BZ#CVE-2014-2532 # ShellShock-exploit AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL

Dit zijn de parameters die zijn geconfigureerd in het sshd-configuratiebestand. Nadat u de instellingen hebt gewijzigd, moet u de sshd-service opnieuw starten.

Opmerkingen

  • Bij gebruik van sleutelauthenticatie is een sleutel vereist eerder op de clientcomputer genereren en de openbare sleutel naar de server kopiëren. Voorbeeld:
cliënt $ ssh-keygen cliënt $ cat ~/.ssh/id_rsa.pub | ssh-p 5679 [e-mailadres beveiligd]"cat >> ~/.ssh/authorized_keys"
  • Het bestand /var/log/auth.log bevat berichten van sshd. Als dit bestand ontbreekt, moet u uw logsysteem configureren. voorbeeld voor syslog en syslon-ng. Ik gebruik syslog-ng en moest de volgende regels toevoegen aan het bestand /etc/syslog-ng/syslog-ng.conf:
bestemming authlog ( file("/var/log/auth.log"); ); log ( bron(src); bestemming(authlog); );

en start de syslog-ng-service opnieuw.

  • Als u een niet-standaard poort gebruikt, moet u mogelijk uw firewall configureren (iptables, firewalld, enz.).
    Voorbeeld instellingen voor iptables:
root# iptables -A INPUT -p tcp -m state --state NEW, ESTABLISHED --dport 5679 -j ACCEPT root# service iptables save root# iptables -L -n Chain INPUT (beleid ACCEPT) doel prot opt ​​bronbestemming ACCEPTEER icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPTEER tcp -- 0.0.0.0/0 0.0.0.0/0 status NIEUW tcp dpt:22 ACCEPTEER tcp -- 0.0.0.0/0 0.0.0.0/0 status NIEUW tcp dpt :80 ACCEPTEER tcp -- 0.0.0.0/0 0.0.0.0/0 status NIEUW, GEVESTIGD tcp dpt:5679 ...

Als dat niet genoeg is

Dit zijn slechts de basisinstellingen. Bovendien kunt u configureren

  • firewall (iptables)


GERELATEERDE ARTIKELEN