- Сообщения
- 293
- Реакции
- 234
- Баллы
- 84
Недавно купил у известного селлера выделенный сервер. При коннекте через рут (после установки ОС ) обнаружил что кто то через китайский айпи уже до меня подключился к серверу через рут. Мягко говоря я был ошеломлен , так как я думал что пароль такого рода как ""@#$87e9f7 трудно брутом подобрать. Оказалось что это не только я стал жертвой брута. Оказывается желторылые пачками ломают сервера а потом используют их для спама , стрессера и т.д. Так как же защитится от этого ? Есть 2 варианта
1) Подключить двухфакторную аутентификацию
2) Запретить рут
Сегодня будем рассматривать второй вариант на примере CentOS 7
Первым делом создаем нового пользователя на сервере
adduser root2
потом даем пароль для этого юзера
passwd root2
Мы создали нового пользователя root2
Но он не имеет рут прав. Если нужно будет что то устанавливать под рут правами нам нужно будет использовать команду su -
После сервер от нас потребует ввести пароль от root пользователя
После этого мы сможем выполнять команды на сервере с root правами
ВНИМАНИЕ ! Вам нужно создать пользователя до того как вы закроете root
Теперь нам нужно закрыть доступ root пользователю.
Для этого открываем конфиг файл ssh который находится по адресу
/etc/ssh/sshd_config
Находим строку
[HASHTAG]#PermitRootLogin[/HASHTAG] yes
Раскомментируем его и меняем yes на no
PermitRootLogin no
после перезагружаем ssh командой
systemctl restart sshd
Ну все, вы закрыли root доступ к серверу
ВНИМАНИЕ ! Вы не сможете редактировать, удалять файлы через аккаунт нового пользователя на сервере использую sftp протокол.
Поэтому советую изучать команды vi редактора
Но если вам не когда изучать этот редактор и вам хочет оставить редактировать ваши файлы на сервере через sftp то вы можете просто поменять порт ssh коннекта. По дефолту у ssh порт 22. Т.е тот кто будет брутить ваш сервер будет работать именно через этот порт. Поэтому после того как мы сменим порт все попытки брута будут закрыты сервером.
Для смены порта открываем файл /etc/ssh/sshd_config
Там меняем значение Port 22 на свой , например 15421
после перезагружаем ssh командой
systemctl restart sshd
Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
Параноики вроде меня могут закрыть рут и поменять порт одновременно )
1) Подключить двухфакторную аутентификацию
2) Запретить рут
Сегодня будем рассматривать второй вариант на примере CentOS 7
Первым делом создаем нового пользователя на сервере
adduser root2
потом даем пароль для этого юзера
passwd root2
Мы создали нового пользователя root2
Но он не имеет рут прав. Если нужно будет что то устанавливать под рут правами нам нужно будет использовать команду su -
После сервер от нас потребует ввести пароль от root пользователя
После этого мы сможем выполнять команды на сервере с root правами
ВНИМАНИЕ ! Вам нужно создать пользователя до того как вы закроете root
Теперь нам нужно закрыть доступ root пользователю.
Для этого открываем конфиг файл ssh который находится по адресу
/etc/ssh/sshd_config
Находим строку
[HASHTAG]#PermitRootLogin[/HASHTAG] yes
Раскомментируем его и меняем yes на no
PermitRootLogin no
после перезагружаем ssh командой
systemctl restart sshd
Ну все, вы закрыли root доступ к серверу
ВНИМАНИЕ ! Вы не сможете редактировать, удалять файлы через аккаунт нового пользователя на сервере использую sftp протокол.
Поэтому советую изучать команды vi редактора
Но если вам не когда изучать этот редактор и вам хочет оставить редактировать ваши файлы на сервере через sftp то вы можете просто поменять порт ssh коннекта. По дефолту у ssh порт 22. Т.е тот кто будет брутить ваш сервер будет работать именно через этот порт. Поэтому после того как мы сменим порт все попытки брута будут закрыты сервером.
Для смены порта открываем файл /etc/ssh/sshd_config
Там меняем значение Port 22 на свой , например 15421
после перезагружаем ssh командой
systemctl restart sshd
Теперь при коннекте к серверу не забудьте сменить порт коннекта с 22 на новый (это касается и sftp )
Параноики вроде меня могут закрыть рут и поменять порт одновременно )
Последнее редактирование:
