Säkra din server med SSH-åtkomst

Dessa åtgärder kan vidtas för att säkra din server med SSH-åtkomst. Utdatera OS, Apache och CPanel till de senaste stabila versionerna. Detta kan göras från WHM/CPanel. Begränsa SSH-åtkomst För att begränsa och säkra SSH-åtkomst, bind sshd till en enskild IP-adress som skiljer sig från huvud-IP:en till servern och på en annan port än port 22. SSH till servern och logga in som root. Skriv vid kommandotolken: vi /etc/ssh/sshd_config Scrolla ner till avsnittet av filen som ser ut så här: Port 22 Protocol 2, 1 ListenAddress 0.0.0.0 ListenAddress :: Avkommentera och ändra Port 22 så att den ser ut som Port 5678 (välj ditt eget 4 till 5-siffriga portnummer (49151 är det högsta portnumret) Avkommentera och ändra protokoll 2, 1 så att det ser ut som protokoll 2 Avkommentera och ändra ListenAddress 0.0.0.0 så att det ser ut som ListenAddress 123.123.123.15 (använd en av dina egna IP-adresser som har tilldelats din server) Obs 1: Om du vill inaktivera direkt rotinloggning, scrolla ner tills du hittar PermitRootLogin ja och avkommentera det och få det att se ut som PermitRootLogin nej Spara genom att trycka på Ctrl o på ditt tangentbord, och avsluta sedan genom att trycka på Ctrl x på ditt tangentbord. Obs 2: Du kan också skapa en anpassad namnserver specifikt för din nya SSH IP-adress. Skapa bara en som heter något som ssh.xyz.com eller vad som helst. Var noga med att lägga till en A-adress i din zon fil för den nya namnservern Starta nu om SSH Vid kommandotolken skriv: /etc/rc.d/init.d/sshd omstart Avsluta SSH och logga sedan in på SSH igen med den nya IP-adressen eller namnservern och den nya porten . Obs: Om du skulle ha några problem, bara Telnet till din server, fixa problemet och sedan SSH in igen. Telnet är ett mycket osäkert protokoll, så ändra ditt root-lösenord när du har använt det. Inaktivera Telnet För att inaktivera telnet, SSH till servern och logga in som root. Skriv vid kommandotolken: vi /etc/xinetd.d/telnet change disable = nej för att inaktivera = ja Spara och avsluta Vid kommandotolken skriv: /etc/init.d/xinetd starta om Serverns e-post varje gång någon loggar in som root Till få servern att e-posta dig varje gång någon loggar in som root, SSH till servern och loggar in som root. Skriv vid kommandotolken: pico .bash_profile Scrolla ner till slutet av filen och lägg till följande rad: echo 'ALERT – Root Shell Access on:' datum WHO | mail -s “Alert: Root Access from vem | awk '{print $6}'” [email protected] Spara och avsluta. Ställ in ett juridiskt SSH-meddelande Till ett juridiskt SSH-meddelande, SSH till servern och logga in som root. Vid kommandotolken skriv: vi /etc/motd Skriv in ditt meddelande, spara och avsluta. Obs: Jag använder följande meddelande... ALERT! Du går in i ett skyddat område! Din IP- och inloggningsinformation har registrerats. Systemadministrationen har meddelats. Detta system är begränsat till endast behörig åtkomst. Alla aktiviteter på detta system registreras och loggas. Obehörig åtkomst kommer att undersökas fullständigt och rapporteras till lämpliga brottsbekämpande myndigheter.†Nu varje gång någon loggar in som root kommer de att se detta meddelande... Inaktivera skalkonton Inaktivera identifieringsutdata för Apache För att inaktivera versionsutdata för proftp, SSH till servern och logga in som root. Skriv vid kommandotolken: vi /etc/httpd/conf/httpd.conf Bläddra (väg) nedåt och ändra följande rad till ServerSignature Av Starta om Apache Vid kommandotolken skriv: /etc/rc.d/init.d/httpd omstart