Zaraz po zakupie serwera VPS dobrym pomysłem jest zablokowanie możliwości logowania do konta ROOT oraz zmiana domyślnego portu SSH. Jest to jedna z podstawowych metod zabezpieczenia naszego serwera przed nieautoryzowanym dostępem.
Na początku przed samym zablokowaniem możliwości logowania się do naszego użytkownika dodajmy poleceniem adduser nasze konto robocze, z którego będziemy mogli przeprowadzać wszelakie prace administracyjne.
useradd administrator
Po wprowadzeniu hasła do naszego nowo powstałego użytkownika możemy przejść do edycji pliku sudoers, dodając następujące wpisy.
vim /etc/sudoers
W nim dodajemy następującą linię:
nazwa_naszego_sura ALL=(ALL) ALL
Bądź wprowadzając następujące polecenie:
echo "nazwa_uzytkownika ALL=(ALL) ALL" >> /etc/sudoers
Przed dokonaniem dalszych zmian koniecznie sprawdź, czy masz dostęp z naszego nowego konta możliwość operowania.
W celu sprawdzenia wprowadź polecenie:
sudo su
Jeśli udało Ci się zalogować jako ROOT z użytkownika, którego utworzyliśmy, to znaczy, że wszystko się udało i jedynie pozostaje nam zablokowanie logowania do konta ROOT.
Po sprawdzeniu naszego użytkownika roboczego i upewnieniu się, że mamy do niego dostęp możemy zablokować możliwość logowania się jako ROOT, a więc:
Aby zablokować możliwość logowania się jako ROOT, musimy edytować plik o nazwe sshd_config znajdujący się w katalogu ssh. Ścieżka do pliku jest poniżej - otwórz tenże plik swoim ulubionym edytorem tekstu (np. nano czy vim) i odnajdź następującą opcję:
sudo vim /etc/sshd/sshd_config
Opcja do zmiany z "yes" na "no":
Po dokonaniu powyższych zmian należy zrestartować usługę poleceniem:
service sshd restart
Polecenie powinno zadziałać jednakowo na Debianie/Ubuntu oraz na CentOS
Zmianę portu domyślnego naszego SSH możesz dokonać w następujący sposób.
Za pomocą dowolnego edytora tekstu (czy to vim, czy nano obojętnie) edytuj następujący plik "sshd_config":
vim /etc/ssh/sshd_config
W powyższym pliku musimy zlokalizować linię zaczynającą się "Port 22" a następnie zamiany na dowolny porty, najlepiej wyższy niż 1024, czyli np. 4312. Po dokonaniu zmian możemy zrestartować usługę analogicznym poleceniem jak podczas edycji pliku w przypadku blokowania logowania do konta ROOT i zmieniając.
service sshd restart
Teraz możemy za pomocą narzędzia netstat sprawdzić, czy wszystko poprawnie się zaaplikowało (narzędzie można doinstalować za pomocą polecenia yum install net-tools w przypadku CentOS).
Output wygląda następująco:
Mam nadzieję, że dzięki temu artykułowi jesteś w stanie teraz samemu dokonać powyższych zmian i możesz spać spokojnie bez obaw o swoje usługi. :)