Смена порта SSH по умолчанию на FreeBSD или Debian

freebsd ssh порт - zloy.org
Как только вы купили (например тут) свой первый VPS первым делом для безопасности нужно сменить порт SSH.


1. Открываем конфигурационный файл:
# ee /etc/ssh/sshd_config


2. Ищем строку
#Port 22


3. Раскомментируем ее и поставим порт который нужен, например 1122:
Port 1122


4. перезапускаем sshd:
/etc/rc.d/sshd restart
— для freebsd
/etc/init.d/ssh restart
— для debian

5. наблюдаем за процессом перезапуска:
Stopping sshd.
Starting sshd.

6. Отключаемся и пробуем подключиться по ssh на новый порт.

P.S.Не забывайте открыть этот порт в firewall.

2 комментария

avatar
LoginGraceTime 10s
PermitRootLogin no
Эти параметры гораздо полезней.
avatar
PermitRootLogin no

Match Host 192.168.5.*,127.0.0.1

PermitRootLogin yes

По дефолту доступ к серверу разрешен для всех групп и пользователей. С помощью параметров AllowUsers/AllowGroups, DenyUsers/DenyGroups можно указать, кому разрешены, а кому запрещены входящие SSH-подключения. В качестве примера создадим отдельную группу, членам которой и будет разрешен доступ:

$ sudo addgroup --gid 450 sshlogin

$ sudo adduser petja sshlogin

В конфиг OpenSSH прописываем:

AllowUsers admin@212.34.10.*

AllowGroups sshlogin

В Debian и Ubuntu для аутентификации по умолчанию используется GSSAPI (Generic Security Services Application Programming Interface), что обычно требует времени. Есть смысл использовать этот механизм только совместно с Kerberos 5, иначе его можно отключить, уменьшив задержку. Одновременно запретим использование одноразовых паролей на базе системы S/Key:

GSSAPIAuthentication no

ChallengeResponseAuthentication no

Несколько параметров в sshd_config позволяют контролировать время работы и бездействия клиента, но они не всегда так уж полезны. Например, по умолчанию TCPKeepAlive установлен в «yes»; это означает, что сервер будет периодически проверять, находится ли клиент «на линии» – если он не отвечает, соединение автоматически разрывается. И хотя с ним системные ресурсы не расходуются зря, в целях безопасности его лучше отключить:

TCPKeepAlive no

Хакер, анализируя такие пакеты, может провести ряд сетевых атак, поэтому вместо TCPKeepAlive лучше использовать директивы:

ClientAliveInterval 15

ClientAliveCountMax 3

Следующие два параметра позволяют контролировать неудачные подключения к серверу:

LoginGraceTime 60

MaxStartups 2:50:10

Параметр LoginGraceTime определяет, по истечению какого времени простаивающее подключение будет разорвано (в секундах). Значение по умолчанию (120) явно завышено. Количество параллельных неаутентифицированных подключений к серверу контролируется при помощи MaxStartups. Запись параметра имеет форму «start:rate:full». В нашем случае она означает отключение с вероятностью 50% при наличии двух неаутентифицированных связей с линейным ростом вероятности до 100% при достижении 10.

Установки в файлах /etc/ssh/sshrc или ~/.ssh/rc позволяют выполнить действия при регистрации пользователя. Здесь можно использовать любые команды оболочки. Например, отправляем на почту уведомление, что в систему по ssh зашел пользователь:

$ sudo vim /etc/ssh/sshrc

echo $(date) $SSH_CONNECTION $USER $SSH_TTY | mail -s «ssh login» admin@domain.ru

Таким образом, можно полностью контролировать подключения пользователей.

Оставить комментарий