Как правильно настроить SSH доступ?

Question

[Alex Xmel]

Учусь правильно настраивать безопасный доступ к серверу по SSH. Сделал вот такой файл настроек:

Port 61231
Protocol 2
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
PubkeyAuthentication yes
UseDNS yes
MaxAuthTries 3
LoginGraceTime 30
ClientAliveInterval 200
ClientAliveCountMax 3
TCPKeepAlive no
AddressFamily inet
IgnoreRhosts yes
HostbasedAuthentication no
LogLevel INFO
StrictModes yes

Есть следующие вопросы:
1. Эти настройки я сохраняю в файл myssh.conf который кидаю по адресу: /etc/ssh/sshd_config.d/ В итоге дефолтный файл sshd_config не трогаю и свои настройки проще менять. Насколько такая практика приветствуется или лучше менять дефолтный файл ?

2. Смущает что в дефолтном файле в начале есть такая строка: Include /etc/ssh/sshd_config.d/*.conf По идее сначала включается мой файл настроек, а потом идёт дефолтный, затирая все мои настройки, хотя всё работает вроде правильно. Есть ли какая тонкость в этом моменте?

3. Хочу разрешить доступ по SSH только пользователю alexey, вот такой настройкой в файле: AllowUsers alexey. Данный пользователь на сервере создан, домашний каталог у него есть, но при включении этой строки доступ к серверу получить не могу. В терминале вижу недостаточно прав: permission denied (как то так пишется) В чём здесь проблема?

4. Почему перегружать сервис ssh надо командой sudo systemctl restart ssh а не sudo systemctl restart sshd ? Ведь в первом случае я перегружаю клиента, который мне на сервере по идее вообще не нужен, а во втором случае как раз перегружаю сам сервер, т.е. демона. Чего я не понимаю ?
5. Есть ещё какие то нюансы или советы по безопасности?

Comments

[Денис Юрьев]

5 пункт, для параноиков:

разрешите подключаться только с вашего айпишника + обзаведитесь статичным
если статичный айпишник не про вас, то можно врубить лютую паранойю - поднимите на сервере OpenVPN и разрешите подключаться к SSH только через этот тунель)))

PS: выкиньте id_rsa и используйте ed25519 - ключи. (для параноиков - с количеством раундов этак 1000)

Answer 1

[Nird]

3. Хочу разрешить доступ по SSH только пользователю alexey

Этого пользователя нужно добавить в группу ssh и ему должен быть разрешен логин на сервере и командный интерпретатор /bin/bash например.

Насколько такая практика приветствуется или лучше менять дефолтный файл ?

Обычно дефолтный копируют рядом в sshd_config.old и правят sshd_config по этому, по поводу

По идее сначала включается мой файл настроек, а потом идёт дефолтный

ничего не скажу, никогда так не делал.

4. Почему перегружать сервис ssh надо командой sudo systemctl restart ssh а не sudo systemctl restart sshd ?

Кто Вам сказал что нужно делать именно так?
systemctl status ssh
и
systemctl status sshd
говорят, что это одно и тоже. Т.е. без разницы какой командой Вы перезапустите сервис.

Comments

[Alex Xmel]

Этого пользователя нужно добавить в группу ssh и ему должен быть разрешен логин на сервере и командный интерпретатор /bin/bash например.

Пользователя добавил: usermod -aG ssh alexey
Логин разрешил: AllowUsers alexey
как разрешить пользователю командный интерпретатор /bin/bash ?

Пока результат тот же, не пускает. Кстати когда не пускает пишет что не недостаточно прав, а спрашивает пароль. А пароля то как бы и нету. Пароль для повышения привилегий до sudo не подошёл.

[Nird]

У вас в конфиге вход по паролю отключен вовсе. Что бы зайти под этим пользователем, нужно:
1. Назначить ему пароль: sudo passwd alexey
2. Убедится что он вообще может логинится, не через ssh а в tty: su alexey.
3. Положить ваш открытый ключ ssh в домашнюю директорию пользователя в .ssh (/home/alexey/.ssh/ к примеру)
4. И задать права на этот ключ: chmod 0644

[Alex Xmel]

Nird,
Всё верно. По паролю вход отключен. Вхожу по ключу только.
Вот мой порядок действий:
На новый сервак захожу рутом, далее делаю пользователя alexey - adduser alexey, здесь же сразу спрашивают пароль, задаю его.
Далее добавляю пользователя в группу sudo и ssh
Далее для проверки выхожу с сервака и логинюсь новым пользователем c паролем. Всё входит.
Выхожу и на локальном компе делаю ключ, потом его копирую на сервак: ssh-copy-id -i ~/.ssh/имя_ключа.pub username@remote_host.
Логинюсь уже по ключу.
Далее копирую в отдельный файл на сервере написанные выше настрйоки Переподключаюсь - всё работает.
Как только включаю опцию AllowUsers alexey так всё, возникает запрос пароля. Какого пароля? Непонимаю. Вообщем далее входа нету.
Ранее сносил сервак и начинал всё заново, сейчас стал умнее и перед включением этой опции разрешаю руту входить по паролю и прописываю рута в разрешённые тоже: AllowUsers alexey, root
В итоге вхожу рутом, меняю обратно и комментирую эту строку. Вообщем её логику никак понять не могу

Убедится что он вообще может логинится, не через ssh а в tty: su alexey

не понял что такое tty

И задать права на этот ключ: chmod 0644

у меня ключ в общем файле autorized.keys, на него менять права ?

[Nird]

Немного наврал.

3. Положить ваш открытый ключ ssh в домашнюю директорию пользователя в .ssh

это про приватные ключи. А открытый ключ нужно скопировать в конец файла /home/alexey/.ssh/authorized_keys
И логиниться с закрытым ключом и этим пользюком ssh alexey@host -i key
Просит пароль значит с ключом что-то не то. Возможно прав не хватает на /home/alexey/.ssh/authorized_keys