Как правильно настроить SSH доступ?

Учусь правильно настраивать безопасный доступ к серверу по SSH. Сделал вот такой файл настроек:

Port 61231
Protocol 2
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
PubkeyAuthentication yes
UseDNS yes
MaxAuthTries 3
LoginGraceTime 30
ClientAliveInterval 200
ClientAliveCountMax 3
TCPKeepAlive no
AddressFamily inet
IgnoreRhosts yes
HostbasedAuthentication no
LogLevel INFO
StrictModes yes

Есть следующие вопросы:
1. Эти настройки я сохраняю в файл myssh.conf который кидаю по адресу: /etc/ssh/sshd_config.d/ В итоге дефолтный файл sshd_config не трогаю и свои настройки проще менять. Насколько такая практика приветствуется или лучше менять дефолтный файл ?

2. Смущает что в дефолтном файле в начале есть такая строка: Include /etc/ssh/sshd_config.d/*.conf По идее сначала включается мой файл настроек, а потом идёт дефолтный, затирая все мои настройки, хотя всё работает вроде правильно. Есть ли какая тонкость в этом моменте?

3. Хочу разрешить доступ по SSH только пользователю alexey, вот такой настройкой в файле: AllowUsers alexey. Данный пользователь на сервере создан, домашний каталог у него есть, но при включении этой строки доступ к серверу получить не могу. В терминале вижу недостаточно прав: permission denied (как то так пишется) В чём здесь проблема?

4. Почему перегружать сервис ssh надо командой sudo systemctl restart ssh а не sudo systemctl restart sshd ? Ведь в первом случае я перегружаю клиента, который мне на сервере по идее вообще не нужен, а во втором случае как раз перегружаю сам сервер, т.е. демона. Чего я не понимаю ?
5. Есть ещё какие то нюансы или советы по безопасности?
  • Вопрос задан
  • 228 просмотров
Пригласить эксперта
Ответы на вопрос 1
Nird_o
@Nird_o
Побил рекорд по количеству прожитых мной дней
3. Хочу разрешить доступ по SSH только пользователю alexey

Этого пользователя нужно добавить в группу ssh и ему должен быть разрешен логин на сервере и командный интерпретатор /bin/bash например.
Насколько такая практика приветствуется или лучше менять дефолтный файл ?

Обычно дефолтный копируют рядом в sshd_config.old и правят sshd_config по этому, по поводу
По идее сначала включается мой файл настроек, а потом идёт дефолтный

ничего не скажу, никогда так не делал.
4. Почему перегружать сервис ssh надо командой sudo systemctl restart ssh а не sudo systemctl restart sshd ?

Кто Вам сказал что нужно делать именно так?
systemctl status ssh
и
systemctl status sshd
говорят, что это одно и тоже. Т.е. без разницы какой командой Вы перезапустите сервис.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы