Ubuntu'da SSH Sunucusunu Güvenli Hale Getirmek İçin 5 Etkili İpucu

Ubuntu sunucunuzun SSH erişimi yeterince güvenli mi?

SSH erişiminin güvenliğini sağlamak, özellikle web siteleri, veritabanları, işlem sunucuları veya GPU düğümleri gibi kritik hizmetler barındıran Linux sunucuları için en temel ve önemli adımlardan biridir. Bu kılavuzda, beş pratik ve teknik çözümü ele alacağız. Ubuntu'da SSH Güvenliğini Artırma Bu, alım satım, oyun, yapay zeka ve web barındırma senaryoları için uygulanabilir talimatlar, yapılandırma örnekleri ve uyarlanabilir ipuçları içerir.

Genel Bakış ve Amaçlar

Bu kılavuzun amacı, aşağıdaki ilkeleri birleştiren beş temel noktayı sunmaktır: Gizlilik, Saldırı menzili azaltıldı, Saldırı tespiti ve müdahalesi ve artırmak Sürdürülebilirlik Kapaklar.

• Kimlik doğrulamasını bununla değiştirmek SSH anahtarı parola yerine
• Erişim kısıtlaması (bağlantı noktası, kullanıcı, IP adresi)
• Koruyucu araçların uygulanması gibi Fail2Ban Ve UFW/iptables
• İzleme ve Denetim (kayıtlar, sshd -T(inceleme araçları)
• İki faktörlü kimlik doğrulama veya Bastion/Jumphost yöntemlerini kullanın.

1) Güçlü SSH anahtarları kullanın ve parolaları devre dışı bırakın.

Kullanımı SSH anahtarları Parola yerine, kaba kuvvet saldırılarına karşı direnç sağlar ve erişim yönetimini kolaylaştırır. Yeni anahtarlar, örneğin... ed25519 Özellikle eski sistemlerle uyumlu olmanız gerekiyorsa tavsiye edilirler. RSA 4096 Kullanmak.

İstemci tarafında güvenli bir anahtar oluşturma:

ssh-keygen -t ed25519 -a 100 -o -f ~/.ssh/id_ed25519 -C "user@host"

Veya (uyumluluk için):

ssh-keygen -t rsa -b 4096 -o -a 100 -f ~/.ssh/id_rsa -C "user@host"

Anahtarın sunucuya aktarılması:

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server

/etc/ssh/sshd_config dosyasındaki önemli ayarların bir örneği:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

SSH yapılandırmasını yükleyin:

sudo systemctl reload sshd

GPU düğümü senaryosu örneği (Yapay Zeka)

Makine öğrenimi/yapay zeka ekipleri tarafından kullanılan GPU sunucuları için önerilir. Erişim grupları Her kullanıcı için benzersiz bir anahtar oluşturun ve yayınlayın. Anahtar klasörü için şifrelenmiş bir dosya sistemi kullanın ve etkinleştirin. AppArmor (veya varsa SELinux) kullanımı da önerilir.

2) Erişim Kısıtlaması: Bağlantı Noktası, Kullanıcılar, Adresler ve AllowUsers/AllowGroups

Erişim düzeyini azaltın veya saldırı yüzeyi Saldırı girişimlerini azaltır. Yaygın yöntemler arasında port değişiklikleri, kullanıcı kısıtlamaları ve IP adreslerine dayalı kısıtlamalar bulunur.

Varsayılan bağlantı noktasını değiştir:

Port 2222

Kullanıcıları veya grupları kısıtla:

AllowUsers deploy [email protected]/24
# or
AllowGroups sshusers

UFW ile IP tabanlı kısıtlama:

sudo ufw allow from 203.0.113.5 to any port 2222 proto tcp

Yüksek riskli özellikleri devre dışı bırakma:

AllowTcpForwarding no
X11Forwarding no
PermitTunnel no

Başarısız girişler için harcanan zaman ve çabayı azaltın:

LoginGraceTime 30
MaxAuthTries 3
MaxSessions 2

3) Kaba kuvvet saldırılarını önleme ve saldırı yönetimi: Fail2Ban, UFW ve DDoS Önleme

Otomatik ve kaba kuvvet saldırıları yaygındır; örneğin, şu araçlar: Fail2Ban Ayrıca, sunucu düzeyindeki güvenlik duvarları kötü amaçlı trafiği engelleyebilir. Katman 4 ve Katman 7 saldırılarıyla mücadele etmek için DDoS saldırılarına karşı koruma hizmetleri kullanın.

Fail2Ban'ı yükleme ve yapılandırma:

sudo apt install fail2ban
# create /etc/fail2ban/jail.d/sshd.local with:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

UFW ile temel güvenlik duvarı yapılandırması:

sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow 80,443/tcp
sudo ufw enable

Ağ katmanından daha güçlü bir korumaya ihtiyacınız varsa, şunu kullanın: DDoS saldırılarına karşı koruma hizmeti Şirketimizi kullanın. DDoS saldırılarına karşı koruma sağlayan sunucularımız, BGP/Anycast ve CDN ağlarıyla birleştirilerek ağ kenarındaki kötü amaçlı trafiği durdurabilir.

Konumların karşılaştırılması ve güvenlik üzerindeki etkisi

Şirketin 85'ten fazla küresel lokasyonunda, bazı veri merkezlerinde uç güvenlik duvarları, BGP ve donanım tabanlı DDoS saldırılarına karşı koruma gibi ağ özellikleri bulunmaktadır. Alım satım işlemleri veya güvenlik açısından hassas sunucular için, DDoS saldırılarına karşı koruma desteği olan ve finansal piyasalara kısa bir ağ yoluna sahip bir lokasyon seçmek önemlidir (örneğin, Londra, Frankfurt, New York, Singapur, Tokyo).

4) İzleme, Denetim ve Saldırı Tespiti

Sunucuya kimin bağlandığını ve hangi girişimlerin başarısız olduğunu bilmek çok önemlidir. Kayıtlar ve denetim araçları, saldırıları hızlı bir şekilde tespit etmeye yardımcı olur.

Kontrol etmek için kullanışlı komutlar:

sshd -T
ss -tulpn | grep ssh
sudo tail -n 200 /var/log/auth.log
last -a

Günlük kayıtlarını analiz etmek için şunları kullanabilirsiniz: rsyslog, logwatch Veya merkezi günlük kayıt hizmetlerini kullanın (örneğin Elasticsearch/Graylog). Diğer faydalı araçlar şunlardır: ssh-denetimi Ve Lynis Ve IDS/IPS gibi OSSEC Veya Mirket Bunlar.

5) İki faktörlü kimlik doğrulama, Bastion ve erişim yönetimi (PAM, 2FA)

İkinci bir kimlik doğrulama katmanı eklemek, bir anahtarın çalınması veya hesabın ele geçirilmesi durumunda saldırganın erişim sağlamasını engeller. Seçenekler arasında Google Authenticator (PAM), kurumsal MFA hizmetleri ve Bastion/Jumphost kullanımı yer almaktadır.

Google Authenticator PAM'ı yükleyin:

sudo apt install libpam-google-authenticator
# then run for each user:
google-authenticator

PAM ve sshd'nin yapılandırılması:

# add to /etc/pam.d/sshd
auth required pam_google_authenticator.so

# in /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes

Kuruluşlar için, MFA gibi hizmetleri kullanmak İkili Veya Okta Ayrıca bir tane yerleştirmeniz de önerilir. Kale Ev Sahibi İki faktörlü kimlik doğrulama, merkezi günlük kaydı ve birleşik kimlik ve erişim yönetimi politikalarıyla, büyük ekipler için en iyi yaklaşım budur.

Anahtarları ve dersleri yönetmek için pratik ipuçları

Güvenliğin sağlanması için periyodik anahtar değişimi, etkin olmayan anahtarların kaldırılması ve merkezi kontrol için kimlik yönetimi (LDAP/AD/SSO) kullanımı şarttır.

Önerilen sshd_config yapılandırma örneği

Aşağıdaki örnek, önerilen ayarları göstermektedir (özel ihtiyaçlarınıza bağlı olarak daha fazla ayarlama gerekebilir):

Protocol 2
Port 2222
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding no
AllowTcpForwarding no
ClientAliveInterval 300
ClientAliveCountMax 2
LogLevel VERBOSE
AllowUsers deploy [email protected]

Belirli senaryolar için ek ve pratik ipuçları

Tüccarlar: Borsalara yakın bir konumda bulunan özel bir işlem VPS'si kullanın, ağ araçlarıyla yanıt sürelerini ölçün ve SSH'yi yalnızca belirli IP adreslerinden açık tutun. DDoS saldırılarına karşı koruma ve BGP ağ iletişimi kullanın.

Oyun: VPS oyunları için düşük pingli bir konum ve özel ağ kullanın. Bastion üzerinden yönetimsel erişimi kontrol edin.

Yapay zeka ve görselleştirme: Yapay zekâya özel konumlardaki GPU sunucularını seçin, SSH erişimini anahtarlar ve 2FA ile kısıtlayın ve farklı ekipler için AllowGroups özelliğini kullanın.

Web sunucusu ve WordPress: Yöneticiler için SSH anahtarları, içerik yüklemeleri için güvenli SFTP ve SSH dağıtım anahtarlarıyla CI/CD kullanın.

Hizmet ve altyapı bilgileri

birden fazla ülkede hizmet veren şirket 85 küresel lokasyon Sunulan Hizmetler: Alım satım ve oyun için çeşitli VPS sunucuları, yüksek performanslı bulut sunucuları, grafik sunucuları (GPU), DDoS saldırılarına karşı koruma sağlayan sunucular, hosting ve alan adı hizmetleri, CDN ve BGP destekli ağ.

• Kamu hizmetleri için DDoS koruması bulunan bir konum kullanın.
• Güvenli erişim için Bastion'ın özel bir ağda ve VPN veya statik IP üzerinden erişilmesi önerilir.
• En düşük gecikme süresi için yapay zekaya özel konumlardaki GPU sunucularını seçin.
• Uygulama katmanını korumak için diğer güvenlik önlemlerinin yanı sıra CDN ve WAF'ı da dahil edin.

Özet ve Hızlı Uygulama Kontrol Listesi

Yukarıdakileri uygulamak için 10 adımlık kontrol listesi:

1. Güvenli bir SSH anahtarı oluşturma ve kullanma (ed25519 Veya RSA4096)
2. Devre dışı bırakma Parola Kimlik Doğrulama Ve PermitRootLogin
3. Varsayılan SSH portunu değiştirin ve ek izinleri kısıtlayın.
4. Kurulum Fail2Ban ve yapılandırma UFW/iptables
5. IP kısıtlaması ve kullanımı Kullanıcılara İzin Ver/Gruplara İzin Ver
6. Günlük kaydını etkinleştirme ve günlükleri merkezi servise gönderme
7. Hassas erişim için 2FA veya MFA uygulayın.
8. Uzaktan erişim için Bastion/Jumphost kullanımı
9. Yapılandırmayı aşağıdaki yöntemle kontrol edin. sshd -T ve denetim araçları
10. Anahtarları düzenli olarak kontrol edin, eski anahtarları çıkarın ve anahtarları değiştirin.

Sıkça Sorulan Sorular