user@host:~$ su
Password:
root@host:/home/user#
root@host:/home/user# cd /
root@host:/# aptitude install openssh-server
root@host:/# nano etc/ssh/sshd-config
Содержимое файла:
# Package generated configuration file
# See the sshd_config(5) manpage for details
# Будем использовать стандартный порт, но защитим его в последствии через port knocking
Port 22
# Будем использовать только протокол SSH 2
Protocol 2
# ListenAdress — адрес на котором сервер принимает запросы на соединение. По умолчанию
# sshd принимает подключения на всех интерфейсах, если не требуется заходить на сервер «из
вне», то можно ограничить его нужным нам IP адресам, (например 192.168.100.1)
#ListenAddress ::
#ListenAddress 0.0.0.0
#По умолчанию sshd слушает как на IPv4 так и на IPv6 адресах. Для того что бы его отключить необходимо изменить параметр AddressFamily (если значение AddressFamily не указано в конфигурационном файле, то оно принимается равным any
AddressFamily inet # IPv4 only
#AddressFamily inet6 # IPv6 only
#AddressFamily any # default (IPv4 и IPv6)# Ключ сервера для протокола версии 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Данные значения определяют длину ключа сервера и его время жизни для использования ssh версии 1 (данный ключ будет заново генерироваться через заданное время)
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
#Параметр LoginGraceTime определяет, по истечению какого времени простаивающее подключение будет разорвано (в секундах), т.е : позволенный для регистрации промежуток времени, за который надо ввести пароль, значение по умолчанию 120 явно завышено, думаю что будет 45 сек будет достаточно.
LoginGraceTime 45
# Время закрытия неработающей сессии. Устанавливаем таймаут в секундах (300 секунд = 5 минутам). После того, как указанное время истечет, бездействующий пользователь будет отключен от системы
ClientAliveInterval 300
ClientAliveCountMax 0
# Запрещаем использовать root учетную запись при подключении к серверу
PermitRootLogin no
# Разрешаем подключаться только определенным пользователям
AllowUsers igorek
# Проверка sshd прав доступа и владельцев домашних каталогов.
StrictModes yes
# Проверка sshd прав доступа и владельцев домашних каталогов.
RSAAuthentication yes
# Разрешаем подключаться к серверу используя публичный ключ (версия 2)
PubkeyAuthentication yes
# Определяет публичный ключ пользователя для аутентификации по ключу. Можно
# применять шаблоны: %u - имя пользователя, %h - домашний каталог пользователя.
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Не используем аутентификацию rhosts
RhostsAuthentication no
# Можно также игнорировать rhosts и shosts при hostbased autentification,
# используя только known_hosts файл.
IgnoreRhosts yes
# Используем ли аутентификацию через known_hosts совместно с .rhosts или
# .shosts. Опция действительна только для протокола версии 1.
RhostsRSAAuthentication no
# То же самое, что и предыдущее только для версии 2
HostbasedAuthentication no
# Если нет доверия к known_hosts, то их можно не использовать при hostbased
# autentification. По умолчанию no
IgnoreUserKnownHosts no
# Запрещаем использовать пустые пароли при подключении к серверу
PermitEmptyPasswords no
# Чтобы запретить посылку хешей паролей через туннель ssh задайте значение
# данной опции no. По умолчанию аутентификация по паролю разрешена
PasswordAuthentication yes
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Этим мы разрешаем серверу запускать удалённо графические приложения и отправлять их на клиентскую машину.
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
# При логине пользователя выводим /etc/motd: в некоторых системах это отменено в
# целях безопасности
PrintMotd no
# Сообщаем пользователю время и место последнего логина, ситуация, аналогичная
# предыдущей
PrintLastLog yes
# Посылать клиенту сообщения о доступности
TCPKeepAlive yes
#UseLogin no
# Количество параллельных не идентифицированных подключений к серверу контролируется
# при помощи MaxStartups. Запись параметра имеет форму «start:rate:full». В нашем случае она
# означает отключение с вероятностью 50% при наличии двух не идентифицированных связей,
# с линейным ростом вероятности до 100% при достижении 10.
MaxStartups 2:50:10
# Путь к файлу, который будет отображаться при входе клиента ДО аутентификации
# Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
После внесения изменений в файл конфигурации перезапускаем службу через команду:
root@host:/# etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
Комментариев нет:
Отправить комментарий