Desde o raiz O usuário é universal para todos os sistemas Linux e Unix, sempre foi a vítima preferida da Bruteforce dos hackers para acessar sistemas. Para forçar uma conta não privilegiada, o hacker deve aprender o nome de usuário primeiro e mesmo que o sucesso do invasor permaneça limitado, a menos que use uma exploração local.Este tutorial mostra como desativar o acesso raiz através do SSH em 2 etapas simples.

• Como desativar o acesso à raiz SSH no Debian 10 Buster
• Alternativas para garantir seu acesso SSH
• Filtrando a porta ssh com iptables
• Usando invólucros de TCP para filtrar SSH
• Desativando o serviço SSH
• Artigos relacionados

Como desativar o acesso à raiz SSH no Debian 10 Buster

Para desativar o acesso root ssh, você precisa editar o arquivo de configuração SSH, no Debian é /etc/ssh/sshd_config, Para editá -lo usando o Nano Text Editor Run:

nano/etc/ssh/sshd_config

No nano você pode pressionar Ctrl+W (onde) e tipo Permitroot Para encontrar a seguinte linha:

#PerMitrootlogin prohibit-Password

Para desativar o acesso raiz através do SSH, apenas descommentando essa linha e substitua Proibit-Password para não Como na imagem a seguir.

Depois de desativar a prensa de acesso raiz Ctrl+x e Y Para salvar e sair.

O Proibit-Password a opção impede o login de senha, permitindo apenas login por meio de ações de queda-de-capa, como chaves públicas, impedindo ataques de força bruta.

Alternativas para garantir seu acesso SSH

Restringir o acesso à autenticação pública -chave:

Para desativar o login de senha, permitindo apenas login usando uma chave pública abrir o /etc/ssh/ssh_config Arquivo de configuração novamente em execução:

nano/etc/ssh/sshd_config

Para desativar o login de senha, permitindo apenas login usando uma chave pública abrir o /etc/ssh/ssh_config Arquivo de configuração novamente em execução:

nano/etc/ssh/sshd_config

Encontre a linha que contém PubKeyauthentication e verifique se diz sim Como no exemplo abaixo:

Verifique se a autenticação de senha está desativada, encontrando a linha contendo PasswordAuthentication, se comentado descompor e verifique se está definido como não Como na imagem a seguir:

Então aperte Ctrl+x e Y Para salvar e sair do editor de texto Nano.

Agora, como o usuário que você deseja permitir o acesso SSH, precisa gerar pares de chave pública e privada. Correr:

ssh-keygen

Responda à sequência de perguntas, deixando a primeira resposta ao padrão pressionando Enter, defina sua senha, repita e as chaves serão armazenadas em ~/.ssh/id_rsa

Gerando par de chaves RSA pública/privada.
Digite o arquivo para salvar a chave (/root/.ssh/id_rsa):
Digite a senha (vazia sem senha): Digite a mesma senha novamente:
Sua identificação foi salva em /raiz /.ssh/id_rsa.
Sua chave pública foi salva em /raiz /.ssh/id_rsa.bar.
A principal impressão digital é:
Sha256: 34+uxvi4d3ik6ryoatdkt6raifclvlyzudrljwfbvgo root@linuxhint
A imagem aleatória da chave é:
+---[RSA 2048]----+

Para transferir os pares de chaves que você acabou de criar, você pode usar o SSH-COPY-ID comando com a seguinte sintaxe:

SSH-COPY-ID @

Altere a porta SSH padrão:

Abra o /etc/ssh/ssh_config Arquivo de configuração novamente em execução:

nano/etc/ssh/sshd_config

Digamos que você queira usar a porta 7645 em vez da porta padrão 22. Adicione uma linha como no exemplo abaixo:

Porta 7645

Então aperte Ctrl+x e Y Para salvar e sair.

Reinicie o serviço SSH executando:

Serviço SSHD Reiniciar

Então você deve configurar iptables para permitir a comunicação através da porta 7645:

iptables -t nat -a pré -ting -p tcp - -dport 22 -j redirect - -to -port 7645

Você também pode usar o UFW (firewall não complicado):

ufw permitir 7645/tcp

Filtrando a porta SSH

Você também pode definir regras para aceitar ou rejeitar conexões SSH de acordo com parâmetros específicos. A sintaxe a seguir mostra como aceitar conexões SSH de um endereço IP específico usando iptables:

iptables -a input -p tcp - -dport 22 -Source -J aceita
iptables -a input -p tcp - -dport 22 -j gota

A primeira linha do exemplo acima instrui os iptables a aceitar solicitações de tcp de entrada (entrada) para a porta 22 do IP 192.168.1.2. A segunda linha instrui as tabelas IP a soltar todas as conexões para a porta 22. Você também pode filtrar a fonte por endereço MAC, como no exemplo abaixo:

iptables -i input -p tcp - -dport 22 -m Mac ! --Mac-Source 02: 42: df: a0: d3: 8f
-j rejeitar

O exemplo acima rejeita todas as conexões, exceto o dispositivo com endereço MAC 02: 42: df: a0: d3: 8f.

Usando invólucros de TCP para filtrar SSH

Outra maneira de os endereços IP da lista de permissões se conectarem através do SSH enquanto rejeitam o resto é editando os hosts de diretórios.negar e anfitriões.Permitir localizado em /etc.

Para rejeitar todos os hosts executados:

nano /etc /hosts.negar

Adicione uma última linha:

SSHD: Todos

Pressione Ctrl+X e Y para salvar e sair. Agora, para permitir hosts específicos através do ssh editar o arquivo /etc /hosts.Permitir, para editá -lo, execute:

nano /etc /hosts.permitir

Adicione uma linha contendo:

sshd:

Pressione Ctrl+X para salvar e sair do nano.

Desativando o serviço SSH

Muitos usuários domésticos consideram o SSH inútil, se você não usar tudo, você pode removê -lo ou pode bloquear ou filtrar a porta.

No Linux ou sistemas baseados em Debian, como o Ubuntu, você pode remover serviços usando o gerenciador de pacotes apt.
Para remover a execução do serviço SSH:

APT remove ssh

Pressione Y se solicitado para terminar a remoção.

E isso se trata de medidas domésticas para manter o SSH seguro.

Espero que você tenha achado este tutorial útil, continue seguindo Linuxhint para obter mais dicas e tutoriais no Linux e na rede.

Artigos relacionados:

• Como ativar o servidor SSH no Ubuntu 18.04 LTS
• Ativar SSH no Debian 10
• Encaminhamento de porta ssh no Linux
• Opções de configuração SSH comuns ubuntu
• Como e por que mudar a porta SSH padrão
• Configurar o encaminhamento do SSH X11 no Debian 10
• Arch Linux SSH Setup, personalização e otimização
• Iptables para iniciantes
• Trabalhando com Firewalls Debian (UFW)