Zaraz po zakupie serwera VPS dobrym pomysłem jest zablokowanie możliwości logowania do konta ROOT oraz zmiana domyślnego portu SSH. Jest to jedna z podstawowych metod zabezpieczenia naszego serwera przed nieautoryzowanym dostępem.

Blokowanie konta ROOT

Na początku przed samym zablokowaniem możliwości logowania się do naszego użytkownika dodajmy poleceniem adduser nasze konto robocze, z którego będziemy mogli przeprowadzać wszelakie prace administracyjne.

 useradd administrator

Po wprowadzeniu hasła do naszego nowo powstałego użytkownika możemy przejść do edycji pliku sudoers, dodając następujące wpisy.

vim /etc/sudoers

W nim dodajemy następującą linię:

nazwa_naszego_sura ALL=(ALL) ALL

Bądź wprowadzając następujące polecenie:

echo "nazwa_uzytkownika ALL=(ALL) ALL" >> /etc/sudoers

Sprawdzenie

Przed dokonaniem dalszych zmian koniecznie sprawdź, czy masz dostęp z naszego nowego konta możliwość operowania.

W celu sprawdzenia wprowadź polecenie:

sudo su

Jeśli udało Ci się zalogować jako ROOT z użytkownika, którego utworzyliśmy, to znaczy, że wszystko się udało i jedynie pozostaje nam zablokowanie logowania do konta ROOT.

Blokowanie konta ROOT

Po sprawdzeniu naszego użytkownika roboczego i upewnieniu się, że mamy do niego dostęp możemy zablokować możliwość logowania się jako ROOT, a więc:

Aby zablokować możliwość logowania się jako ROOT, musimy edytować plik o nazwe sshd_config znajdujący się w katalogu ssh. Ścieżka do pliku jest poniżej - otwórz tenże plik swoim ulubionym edytorem tekstu (np. nano czy vim) i odnajdź następującą opcję:

sudo vim /etc/sshd/sshd_config

Opcja do zmiany z "yes" na "no":

Edycja sshd_config


Po dokonaniu powyższych zmian należy zrestartować usługę poleceniem:

service sshd restart

Polecenie powinno zadziałać jednakowo na Debianie/Ubuntu oraz na CentOS

Zmiana portu SSH

Zmianę portu domyślnego naszego SSH możesz dokonać w następujący sposób.
Za pomocą dowolnego edytora tekstu (czy to vim, czy nano obojętnie) edytuj następujący plik "sshd_config":

vim /etc/ssh/sshd_config

W powyższym pliku musimy zlokalizować linię zaczynającą się "Port 22" a następnie zamiany na dowolny porty, najlepiej wyższy niż 1024, czyli np. 4312. Po dokonaniu zmian możemy zrestartować usługę analogicznym poleceniem jak podczas edycji pliku w przypadku blokowania logowania do konta ROOT i zmieniając.

service sshd restart

Teraz możemy za pomocą narzędzia netstat sprawdzić, czy wszystko poprawnie się zaaplikowało (narzędzie można doinstalować za pomocą polecenia yum install net-tools w przypadku CentOS).
Output wygląda następująco:

Wynik z netstat

Podsumowując

Mam nadzieję, że dzięki temu artykułowi jesteś w stanie teraz samemu dokonać powyższych zmian i możesz spać spokojnie bez obaw o swoje usługi. :)