Центр знаний DevOps
Центр знаний DevOps

Лучшие практики безопасности SSH: Защита вашего сервера и клиента

Это подробное руководство описывает основные рекомендации по обеспечению безопасности SSH-соединений. Узнайте, как защитить ваш сервер, отключив аутентификацию по паролю, сменив порты по умолчанию и ограничив доступ. Откройте для себя важнейшие привычки на стороне клиента, включая защиту приватного ключа и проверку ключа хоста. Мы также рассмотрим расширенные меры, такие как двухфакторная аутентификация и Fail2ban, для защиты вашего удаленного доступа от несанкционированного вторжения.

39 просмотров

Лучшие практики безопасности SSH: Укрепление вашего сервера и клиента

Secure Shell (SSH) — незаменимый инструмент для системных администраторов и разработчиков, обеспечивающий безопасный удаленный доступ к серверам и другим сетевым устройствам. Хотя SSH по умолчанию предлагает надежное шифрование, его безопасность может быть значительно повышена путем реализации ряда лучших практик как на стороне сервера, так и на стороне клиента. Эта статья посвящена критически важным мерам безопасности, разработанным для укрепления ваших SSH-соединений, защиты от распространенных уязвимостей и предотвращения несанкционированного доступа.

Пренебрежение безопасностью SSH может оставить ваши системы уязвимыми перед атаками грубой силы, угрозами типа «человек посередине» и несанкционированными утечками данных. Применяя описанные ниже практики, вы можете значительно укрепить свою систему безопасности и обеспечить целостность и конфиденциальность ваших удаленных операций.

Укрепление безопасности на стороне сервера

Настройка вашего SSH-сервера (sshd_config) имеет первостепенное значение для создания безопасной основы для удаленного доступа. Эти изменения напрямую влияют на то, как клиенты подключаются и аутентифицируются на вашем сервере.

1. Отключение аутентификации по паролю

Аутентификация по паролю по своей природе уязвима для атак грубой силы. Замена ее аутентификацией на основе SSH-ключей является одним из наиболее эффективных улучшений безопасности, которые вы можете сделать.

  • Почему: SSH-ключи гораздо сложнее паролей и не могут быть легко угаданы или взломаны методами грубой силы. Они обеспечивают гораздо более надежную форму аутентификации.

  • Как: Отредактируйте файл sshd_config (обычно расположенный по адресу /etc/ssh/sshd_config) и установите PasswordAuthentication no. После внесения изменений перезапустите службу SSH:

    ```bash
    sudo systemctl restart sshd

    или на старых системах:

    sudo service ssh restart
    ```

    Важно: Убедитесь, что вы успешно настроили и протестировали аутентификацию на основе SSH-ключей до отключения аутентификации по паролю, чтобы избежать блокировки доступа.

2. Использование нестандартного порта

Хотя это и не является основной мерой безопасности против изощренных злоумышленников, изменение порта SSH по умолчанию (22) может уменьшить количество шума от автоматизированных ботов, сканирующих уязвимые серверы.

  • Как: В sshd_config измените директиву Port. Например, чтобы использовать порт 2222:

    Port 2222

    Не забудьте обновить правила вашего файрвола, чтобы разрешить трафик на новом порту, и указывать порт при подключении с вашего клиента:

    bash ssh -p 2222 user@your_server_ip

3. Ограничение доступа пользователей и групп

Контролируйте, каким пользователям и группам разрешено входить через SSH.

  • AllowUsers и AllowGroups: Используйте эти директивы в sshd_config, чтобы явно указать, кто может подключаться.
    AllowUsers admin user1 AllowGroups sshusers
  • DenyUsers и DenyGroups: В качестве альтернативы используйте их для блокировки определенных пользователей или групп.

4. Отключение входа под root

Прямой вход под root через SSH должен быть отключен, чтобы не дать злоумышленникам сразу же атаковать наиболее привилегированную учетную запись. Вместо этого пользователи должны входить со своими собственными учетными записями и использовать sudo для административных задач.

  • Как: Установите PermitRootLogin no в sshd_config.

5. Настройка тайм-аута бездействия и Keepalives

Предотвратите неограниченное пребывание незанятых, активных SSH-сессий открытыми.

  • ClientAliveInterval и ClientAliveCountMax: Эти серверные настройки отправляют пустые пакеты клиенту через регулярные интервалы, чтобы проверить, активно ли соединение. Если клиент не отвечает после ClientAliveCountMax попыток, сервер отключает сессию.
    ClientAliveInterval 300 # Отправлять пакет каждые 5 минут ClientAliveCountMax 2 # Отключиться после 2 пропущенных ответов (10 минут)

6. Включение только Протокола 2

SSH Протокол версии 1 устарел и имеет известные уязвимости безопасности. Убедитесь, что включен только Протокол 2.

  • Как: Установите Protocol 2 в sshd_config.

7. Укрепление хост-ключей

Убедитесь, что хост-ключи вашего сервера защищены и правильно управляются.

  • Разрешения: Убедитесь, что файлы хост-ключей (например, /etc/ssh/ssh_host_rsa_key) имеют ограничительные разрешения (например, 600) и принадлежат root.

Лучшие практики безопасности на стороне клиента

Защита вашей клиентской машины и ваших SSH-ключей так же важна, как и укрепление безопасности на стороне сервера.

1. Защитите ваши приватные ключи

Ваш приватный SSH-ключ — это шлюз к вашим серверам. Относитесь к нему с особой осторожностью.

  • Разрешения: Убедитесь, что ваш файл приватного ключа (например, ~/.ssh/id_rsa) имеет строгие разрешения (например, 600 или 400), чтобы только вы могли его читать.
    bash chmod 600 ~/.ssh/id_rsa
  • Парольные фразы: Всегда используйте надежную парольную фразу для шифрования вашего приватного ключа. Это добавляет дополнительный уровень безопасности, требуя парольную фразу, даже если файл ключа скомпрометирован.
  • Избегайте копирования: Не делитесь своим приватным ключом ни с кем и не храните его в небезопасных местах.

2. Осторожное использование перенаправления агента SSH

Перенаправление агента SSH позволяет использовать ваши локальные SSH-ключи для аутентификации на удаленных серверах без копирования ваших приватных ключей на эти серверы. Хотя это удобно, это может представлять риск безопасности, если удаленный сервер скомпрометирован.

  • Включение: ssh -A user@your_server_ip
  • Лучшая практика: Используйте перенаправление агента только тогда, когда это абсолютно необходимо, и отключайтесь как можно скорее. Рассмотрите возможность отключения его по умолчанию в конфигурации вашего клиента.

3. Проверка отпечатков ключей хоста

При первом подключении к SSH-серверу ваш клиент запрашивает у вас проверку отпечатка ключа хоста сервера. Это помогает предотвратить атаки типа «человек посередине».

  • Как: Всегда проверяйте отпечаток по доверенному источнику (например, предоставленному вашим хостинг-провайдером или системным администратором). Если отпечаток неожиданно меняется при последующих подключениях, это может указывать на проблему безопасности.

4. Обновляйте программное обеспечение SSH-клиента

Убедитесь, что ваше программное обеспечение SSH-клиента (OpenSSH, PuTTY и т.д.) всегда обновлено, чтобы пользоваться последними исправлениями безопасности и функциями.

Расширенные меры безопасности

Помимо основных шагов, рассмотрите следующие продвинутые методы:

1. Двухфакторная аутентификация (2FA)

Внедрите 2FA для дополнительного уровня безопасности. Это обычно включает комбинацию того, что вы знаете (ваш SSH-ключ или пароль), и того, что у вас есть (код из приложения-аутентификатора или аппаратного токена).

  • Инструменты: Google Authenticator, Duo Security или аппаратные токены могут быть интегрированы с PAM (Pluggable Authentication Modules) для SSH.

2. Fail2ban

Fail2ban — это программная среда для предотвращения вторжений, которая сканирует файлы журналов (например, /var/log/auth.log) и блокирует IP-адреса, демонстрирующие вредоносные признаки — слишком много неудачных попыток ввода пароля, поиск эксплойтов и т.д. Он обновляет правила файрвола, чтобы отклонять запросы с этих IP-адресов на определенный период времени.

  • Установка: Обычно доступно через менеджеры пакетов (sudo apt install fail2ban или sudo yum install fail2ban).
  • Настройка: Настройте «тюрьмы» (jails) в /etc/fail2ban/jail.local для мониторинга журналов SSH и определения времени блокировки и пороговых значений.

3. Настройка файрвола

Используйте файрвол (такой как ufw, firewalld или iptables), чтобы ограничить доступ к вашему SSH-порту (будь то стандартный или пользовательский) только с доверенных IP-адресов или диапазонов.

  • Пример (ufw):
    bash sudo ufw allow from trusted_ip to any port 22 sudo ufw enable

Заключение

Защита ваших SSH-соединений — это непрерывный процесс, а не одноразовая настройка. Добросовестно применяя эти лучшие практики для сервера и клиента, вы можете значительно снизить риски, связанные с удаленным доступом. Приоритизация аутентификации по SSH-ключам, надежные средства контроля доступа и инструменты мониторинга, такие как Fail2ban, составляют основу безопасной среды SSH. Регулярный пересмотр и обновление ваших конфигураций безопасности обеспечит защиту ваших систем от развивающихся угроз.