Konfiguracja daemona SSHD

Sshd jest demonem, który nasłuchuje na porcie 22 i czeka na połączenia żądane przez klientów. Uruchamia on osobne demony dla każdego z połączeń. Każdy z nich ma oddzielne dane dotyczące kodowania, autoryzacji wykonywanych komend i plików. Do transmisji używa protokołu SSH. W ścisłym znaczeniu SSH to tylko następca protokołu [[Telnet]], służącego do terminalowego łączenia się ze zdalnymi komputerami. SSH różni się od Telnetu tym, że transfer wszelkich danych jest zaszyfrowany oraz możliwe jest rozpoznawanie użytkownika na wiele różnych sposobów. W szerszym znaczeniu SSH to wspólna nazwa dla całej rodziny protokołów, nie tylko terminalowych, lecz także służących do przesyłania plików ([[SCP]], [[SFTP]]), zdalnej kontroli zasobów, tunelowania i wielu innych zastosowań. Wspólną cechą wszystkich tych protokołów jest identyczna z SSH technika szyfrowania danych i rozpoznawania użytkownika. Obecnie protokoły z rodziny SSH praktycznie wyparły wszystkie inne „bezpieczne” protokoły, takie, jak np. [[Rlogin]] czy [[RSH]].

Edytuj plik /etc/ssh/sshd_config:

#portu i protokołów.
#portu lepiej nie zmieniać, protokół można ustawić tylko na 2 dla bezpieczeństwa
Port 22
Protocol 2,1

#możemy ale nie musimy określać na jakim IP SSHD ma prowadzić nasłuch,
#możemy pozostawić: ListenAddress ::
ListenAddress 10.0.0.2

#jeśli mamy własne klucze i certyfikaty, tu możesz je wprowadzić
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 963
LoginGraceTime 600
KeyRegenerationInterval 3600

#możliwość logowania się do zdalnego systemu jako root
PermitRootLogin yes

#ignorowanie zawartośCi plików:  ~/.rhosts i  ~/.shosts
IgnoreRhosts yes

#każdy użytkownik systemu może stworzyć w swoim katalogu domowym plik znanych serwerów
#( ~/.ssh/known_hosts)
#poniższa opcja zignoruje te wpisy przy RhostsRSAAuthentication
IgnoreUserKnownHosts yes

#ograniczenia zdalnych użytkowników
StrictModes yes
X11Forwarding no
X11DisplayOffset 10

#wyświetlanie zawartośCi plik /etc/motd
PrintMotd yes

#podtrzymywania połączeń
KeepAlive yes

#opcje logowania
SyslogFacility AUTHPRIV
LogLevel INFO

#opcję rhostów(domyślne są wystarczające)
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes

#opcje haseł
PasswordAuthentication yes
PermitEmptyPasswords no

#automatyczna autentyfikacja przy użyciu kluczy PAM
ChallengeResponseAuthentication no

#sprawdzanie skrzynki tuż po zalogowaniu
CheckMail yes

#UseLogin no
#MaxStartups 10:30:60

#plik wyświetlany przed zalogowaniem,
#jeśli nie jest włączony, po połączeniu się z naszym hostem widnieć będzie tylko
#napis: login
Banner /etc/issue.net

#ReverseMappingCheck yes

#pod system dostępny z SSH
Subsystem       sftp    /usr/libexec/openssh/sftp-server

6 thoughts on “Konfiguracja daemona SSHD

  1. Hej mistrzu, nie chcę krytykować, tym bardziej że post jest stary ale ten konfig wymaga poprawki.
    PermitRootLogin no – bo po co logować się z roota jak możesz userem korzystać z su i sudo?
    I po co koniecznie port 22? Czy nie można sobie dać np 2222 – myślę że to zawsze choć trochę wpłynie na poprawę bezpieczeństwa.
    Poza tym to już trochę się zdezaktualizowało 😉

  2. Pingback: Chroot w praktyce

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Releated

Munin + nginx + debian czyli monitorowanie serwerów

Munin jest bardzo prostym i przydatnym narzędziem służące do monitorowania aktywności serwerów. Przy jego pomocy możemy konfigurować dowolną ilość maszyn. Wynikiem działania są wykresy przedstawiające aktualny i historyczny stan systemu. Na podstawie wykresów możemy określić czy system pracuje stabilnie, możemy również obserwować jak wprowadzane zmiany wpływają na stan systemu.

Bitcoin node on Cubieboard

Sieć Bitcoina jest siecią P2P, składa się więc z węzłów – czyli komputerów, na których działa tradycyjny klient bitcoina , węzły te łączą się z innymi węzłami w sieci rozproszonymi w Internecie. Co się dzieje, gdy do sieci włącza się/dołącza się nowy węzeł czyli jeśli ktoś zainstaluje nowy portfel lub uruchomi już używany.