Szerver biztonsági beállítások

Az /etc/ssh/sshd_config fájl a SSH szerver beállításait tartalmazza. A fájl módosítása lehetővé teszi a szerver biztonsági beállításainak finomhangolását. Néhány fontos beállítás az alábbiak:

Port megváltoztatása: Alapértelmezésben az SSH szerver a TCP 22-es porton figyel, de célszerű lehet ezt megváltoztatni. Ez megnehezíti a támadóknak a bejelentkezést, mivel nem a szokásos portot használják. Ehhez a Port sorban kell megadni a kívánt portszámot, például: Port 2222. Fontos, hogy engedélyezzük az új portot a tűzfalon, különben kizárhatjuk magunkat a szerverről!!!

Root felhasználó tiltása: Az alapértelmezett beállítás szerint a root felhasználó bejelentkezhet az SSH szerverre. Ez egy biztonsági kockázatot jelenthet, mert a root felhasználó szinte teljes hozzáférést biztosít a szerverhez. Azonban, ha a root felhasználó bejelentkezését letiltjuk, akkor a támadóknak már egy további akadályt kell leküzdeniük a szerver feltöréséhez. Ehhez a PermitRootLogin sort kell módosítani a no értékre: PermitRootLogin no.

Jelszavas bejelentkezés tiltása: Az SSH jelszó alapú bejelentkezését helyettesíthetjük kulcs alapú bejelentkezéssel, amely biztonságosabb, mivel a kulcsokat nem lehet könnyen feltörni. Azonban, ha továbbra is engedélyezni szeretnénk a jelszó alapú bejelentkezést, akkor használjunk erős jelszavakat, és engedélyezzük a kétlépcsős hitelesítést (2FA) is, ha lehetséges. Ehhez a PasswordAuthentication sort kell módosítani a no értékre: PasswordAuthentication no.

Támadások elleni védelem: Az SSH szerver esetében fontos, hogy megakadályozzuk az automatizált támadásokat, amelyek gyakran a bruteforce támadásokat használják. Ehhez használjuk a Fail2ban programot, amely blokkolja az IP-címeket, amelyek túl sokszor próbáltak sikertelenül bejelentkezni. Ezenkívül engedélyezzük a tűzfalat és korlátozzuk a belső hálózatokon kívülről érkező SSH-kapcsolatokat.