Вопрос: Каков наилучший способ защитить мой сервер EC2 в отношении SSH?


У меня есть экземпляр Amazon ec2, и мне было любопытно, если я должен изменить имя пользователя (по умолчанию используется ubuntu) или нет?

Поскольку для доступа к серверу необходим открытый SSH-ключ, я не думаю, что вы это делаете, но факт остается фактом - следует ли мне изменить имя пользователя для этого сервера?


4
2017-11-09 00:40


Источник




Ответы:


Если вы не отключили аутентификацию пользователя и пароля на своем сервере, я бы предложил изменить его. С точки зрения безопасности с одним компонентом аутентификации это упростит.

Настройка аутентификации ключа SSH

User@Host:~$ ssh-keygen -t rsa -b 4096

после генерации ключа вы сделаете следующее:

User@Host:~$ ssh-copy-id <username>@<host>

Затем вы захотите проверить, что ключ работает до отключения аутентификации пароля.

User@Host:~$ ssh <username>@<host>

Вам нужно будет указать парольную фразу, которую вы создали при создании ключа. Если вы и вы подключаетесь к серверу, вы можете отключить аутентификацию пароля.

внесите изменения /etc/ssh/sshd_config путем изменения следующей строки:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

После этого вы хотите перезагрузить SSH-сервер

User@Host:~$ /etc/init.d/ssh reload

3
2017-11-09 16:03



Спасибо, по умолчанию это только ключ ssh, поэтому я думаю, что это, вероятно, безопасно, но я пойду вперед и отдам его. - jrg♦


Как упоминалось ранее, переход от «дефолта» - это почти всегда хорошая идея, безопасная. Изменение вашего имени пользователя из ubuntu на что-то еще может предотвратить несанкционированный доступ. Тем не менее, каждая система имеет учетную запись «root», а в качестве примера вы можете предоставить другие меры безопасности для вашего компьютера / пользователей.

  1. Убедитесь, что вход в корневой каталог отключен.
  2. Запретить вход в систему для пользователей на вашем компьютере. (Это особенно важно в случае, когда ваше целевое имя пользователя известно)
  3. Установите средство запрета попыток входа в грубую силу (fail2ban это хороший вариант)
  4. Измените номер порта сервера.
  5. Белые списки лучше, чем Blacklists. Если вы можете сообщить своему серверу SSH, какие IP-адреса разрешены для подключения, вы можете значительно уменьшить атаки. (Это может быть сложным и вызвать проблемы в будущем, поэтому читайте и будьте готовы, если вы это сделаете)

1
2017-11-09 17:39