Deaktiver eller aktiver SSH Root Login og Begræns SSH-adgang i Linux

I dag ved alle, at Linux-systemer kommer med rootbrugeradgang, og som standard er rootadgangen aktiveret for omverdenen. Af sikkerhedsårsager er det ikke en god ide at have ssh root-adgang aktiveret for uautoriserede brugere. Fordi enhver hacker kan prøve at tøve dit kodeord og få adgang til dit system.

Så det er bedre at have en anden konto, som du regelmæssigt bruger, og derefter skifte til rodbruger ved at bruge kommandoen 'su -', når det er nødvendigt. Før vi starter, skal du sørge for at have en almindelig brugerkonto og med det du su eller sudo for at få rodadgang.

I Linux er det meget let at oprette en separat konto, logge ind som rodbruger og bare køre kommandoen ‘adduser’ for at oprette separat bruger. Når brugeren er oprettet, skal du blot følge nedenstående trin for at deaktivere rodlogin via SSH.

Vi bruger sshd-masterkonfigurationsfil til at deaktivere root-login, og dette vil muligvis mindske og forhindre hacker i at få rootadgang til din Linux-boks. Vi ser også, hvordan du aktiverer rodadgang igen, samt hvordan du begrænser ssh-adgang baseret på brugerlisten.

Deaktiver SSH-rodindlogning

For at deaktivere root-login skal du åbne hoved-ssh-konfigurationsfilen/etc/ssh/sshd_config med dit valg af editor.

# vi /etc/ssh/sshd_config

Søg efter følgende linje i filen.

#PermitRootLogin no

Fjern '#' fra begyndelsen af linjen. Få linjen til at ligne denne.

PermitRootLogin no

Dernæst skal vi genstarte SSH-dæmontjenesten.

# /etc/init.d/sshd restart

Prøv nu at logge ind med root-bruger, du får fejlen "Adgang nægtet".

login as: root
Access denied
[email 's password:

Så fra nu af logger du ind som normal bruger, og brug derefter kommandoen 'su' til at skifte til rodbruger.

login as: tecmint
Access denied
[email 's password:
Last login: Tue Oct 16 17:37:56 2012 from 172.16.25.125
[[email  ~]$ su -
Password:

Aktivér SSH-rodlogin

For at aktivere ssh-rodlogning skal du åbne filen/etc/ssh/sshd_config.

# vi /etc/ssh/sshd_config

Søg efter følgende linje, og sæt '#' i begyndelsen, og gem filen.

# PermitRootLogin no

Genstart sshd-tjenesten.

# /etc/init.d/sshd restart

Prøv nu at logge ind med rodbrugeren.

login as: root
Access denied
[email 's password:
Last login: Tue Nov 20 16:51:41 2012 from 172.16.25.125

Begræns SSH-brugerlogins

Hvis du har et stort antal brugerkonti på systemerne, er det fornuftigt, at vi begrænser fjernadgang til de brugere, der virkelig har brug for det. Åbn filen/etc/ssh/sshd_config.

# vi /etc/ssh/sshd_config

Tilføj en AllowUsers-linje i bunden af filen med et mellemrum adskilt af listen over brugernavne. For eksempel har bruger tecmint og sheena begge adgang til ekstern ssh.

AllowUsers tecmint sheena

Genstart ssh-tjenesten.