Bezpieczna konfiguracja SSH - jak chronić serwer przed atakami

SSH to podstawowe narzędzie administratora do zdalnego zarządzania serwerem. Niestety, jest też jednym z najczęściej atakowanych punktów wejścia. Każdy nieodpowiednio zabezpieczony serwer prędzej czy później stanie się celem prób logowania brute force. Dlatego warto poświęcić kilka minut na konfigurację, która znacząco zwiększy bezpieczeństwo.

Zmiana domyślnego portu

Domyślnie SSH działa na porcie 22. Boty skanują sieć i automatycznie atakują ten port. Zmiana portu na inny, np. 2222, nie jest jedynym zabezpieczeniem, ale znacząco ogranicza ilość prób ataków.

Wyłączenie logowania root

Bezpośrednie logowanie na konto root jest ryzykowne. Lepiej logować się na zwykłego użytkownika i dopiero wtedy używać polecenia sudo.

Uwierzytelnianie kluczem zamiast hasła

Hasła można złamać, natomiast klucze SSH są dużo trudniejsze do przechwycenia. Warto włączyć logowanie tylko za pomocą kluczy publicznych.

Ograniczenie dostępu tylko dla wybranych użytkowników

Można wskazać konkretne konta, które mają prawo logować się przez SSH. Dzięki temu nawet jeśli ktoś stworzy nieautoryzowane konto, nie uzyska dostępu.

Fail2Ban i dodatkowe zabezpieczenia

Dobrym uzupełnieniem jest Fail2Ban. Blokuje adresy IP, które wielokrotnie próbują się logować z błędnym hasłem. Warto także włączyć firewall i ograniczyć dostęp do SSH tylko z określonych adresów IP.

Podsumowanie

Bezpieczna konfiguracja SSH to kilka prostych kroków, które znacząco utrudniają ataki na serwer. Zmiana portu, wyłączenie logowania root, uwierzytelnianie kluczami, ograniczenie dostępu do wybranych kont oraz dodatkowe zabezpieczenia jak Fail2Ban pozwalają skutecznie chronić infrastrukturę.