Произошел неприятный случай. Очень кратко - ставил интернет сервер, дело было в пятницу вечером. Были сделаны основные настройки, установлено подключение к интернет, ip выделенный. Пароль root был очень простой "111". Менять пароль не стал решив все доделать на следующий день. В субботу, с раннего утра сработало шестое чувство (это правда, по другому не могу сказать). Подключился к серверу из дома и обнаружил вторжение с Сербского сайта на мой сервер. Взлом был по ssh под root методом перебора паролей из файла, в котором примерно 800 тыс.вариантов паролей и логинов. Навредить ни чего не успели потому что система была чистой да и времени у них было мало - около четырех часов. Что делали - исследовали локальную сеть и пытались установить сервер сообщений. Виноват конечно только я. С таким отношением к безопасности это должно было когда нибудь случиться. Теперь перестраховываюсь и всегда делаю настройку авторизации доступа в ssh по ключу.
ssh-keygen -t rsa - создаем сам ключ.
/home/user/.ssh - создаем каталог у пользователя и копируем туда публичный ключ под именем authorized_keys
дополнительная настройка прав
chown -R user /home/user/.ssh
chmod 700 /home/user/.ssh/
chmod 600 /home/user/.ssh/authorized_keys
Проверяю следующие настройки в файле
/etc/ssh/sshd_config:RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no - запрещена парольная аутентификация
PermitEmptyPasswords no - запрещены пустые пароли
AllowUsers user - разрешена работа только перечисленным пользователям (root нет)
Далее забираем с сервера приватный ключ и конвертируем его в putty.
sudo -s -H - получение постоянных прав root, если не хочется каждый раз вводить команду sudo
Комментариев нет:
Отправить комментарий