🔐 Сигурна конфигурация на SSH

Published · Updated

Сигурна конфигурация на SSH

SSH (Secure Shell) е стандартен протокол за сигурен достъп до отдалечени сървъри. Въпреки това, ако не е конфигуриран правилно, може да бъде уязвим към атаки. В тази статия ще ви покажем как да изградите непробиваем SSH сървър, който да е защитен от злонамерени атаки.

Основна SSH конфигурация ⚙️

Първата стъпка е да редактирате основния конфигурационен файл на SSH:

My Terminal 
sudo nano /etc/ssh/sshd_config

✅ Променете стандартния порт (22)

Порт 22 е цел на ботове и автоматизирани атаки. Използвайте нестандартен порт (напр. 2222 или 45678):

My Terminal 
Port 2222

✅ Ограничаване на потребителите

Разрешавайте достъп само на определени потребители:

My Terminal 
AllowUsers ваш_потребител

✅ Изключване на пароли – използвайте само SSH ключове 🔑

Паролите са уязвими към brute force атаки. Използвайте само ключове:

My Terminal 
PasswordAuthentication no

Рестартирай услугата:

My Terminal 
sudo systemctl restart ssh

✅ Използвайте SSH ключове с Ed25519

Този алгоритъм е по-сигурен от RSA:

My Terminal 
ssh-keygen -t ed25519 -a 100

Засилване на криптографията 🔐

SSH поддържа различни алгоритми, но не всички са сигурни.

✅ Изключване на остарели алгоритми

Забранете слаби криптографски схеми:

My Terminal 
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected]
MACs [email protected],[email protected]

 Допълнителни мерки за сигурност🛡️

✅ Fail2ban – автоматично блокиране на атаки

Инсталирайте Fail2ban, за да спирате brute force опити:

My Terminal 
sudo apt install fail2ban
sudo systemctl enable fail2ban

✅ Ограничаване на опитите за вход

Намалете броя на позволените опити преди блокиране:

My Terminal 
MaxAuthTries 3
LoginGraceTime 1m

✅ Включване на 2FA (двуфакторна автентикация) 🔑📱

Използвайте Google Authenticator за допълнителна защита:

My Terminal 
sudo apt install libpam-google-authenticator
google-authenticator

Добавете в sshd_config:

My Terminal 
AuthenticationMethods publickey,keyboard-interactive

Мониторинг и поддръжка 🚨

✅ Регулярни ъпдейти

Винаги поддържайте софтуера актуален:

My Terminal 
sudo apt update && sudo apt upgrade -y

✅ Анализ на логове

Проверявайте логовете за подозрителна активност:

My Terminal 
sudo tail -f /var/log/auth.log | grep sshd

✅ Резервни копия на ключове

Съхранявайте SSH ключовете си на сигурно място (напр. криптиран USB).

5. Тестване на конфигурацията ✅

Преди да рестартирате SSH, проверете за грешки:

My Terminal 
sudo sshd -t

Ако всичко е наред, рестартирайте услугата:

My Terminal 
sudo systemctl restart sshd

Заключение 🏁

Следвайки тези стъпки, ще изградите непробиваем SSH сървър, устойчив на атаки. Не забравяйте:

✔️ Променете стандартния порт
✔️ Забранете root достъп
✔️ Използвайте само SSH ключове
✔️ Включете Fail2ban и 2FA
✔️ Поддържайте системата актуална

С тази конфигурация вашият SSH ще бъде защитен от 99% от атаките! 🚀

Благодарим ви за прочитането на статията! Ако намерихте информацията за полезна, можете да дарите посредством бутоните по-долу: 🔰