Funderingar runt root/sudo och SSH - tacksam för hjälp

Med sudo kan du få rättighet att köra ett kommando som en annan användare. T.ex. kan du vara med i gruppen sudo och sen ha följande i din sudoers fil:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Men det är alltid ditt lösenord du anger vid sudo, inte användaren du vill köra som! Och kommandot:

$ sudo apt-get install <...>

Kommer (efter att du bekräftat att du är du) köra kommandot (apt-get) som root.

En anledning är att det blir svårare att hacka datorn om man även måste lista ut användarnamnet, dvs man måste både gissa rätt användarnamn och lösenord.

om din ssh server är tillgänglig via internet så kolla loggarna. du kommer antagligen snart att se massa bruteforce attacker där nästan alla försöker logga in som root. Fail2ban är ett trevligt litet program som skannar loggar och temp bannar folk efter ett antal misslyckade försök.

edit:

körde en sftp server ett tag. är ingen säkerhets expert men jag stängde iaf av root login och tillät bara en användare med sudo rättigheter att logga in och bara från det lokala nätverket.

Ett väldigt bra säkerhetstips för SSH är annars att ändra porten, då de flesta robotar på nätet som försöker bruteforca sig in endast provar på default-porten.

Porten ändrar du i /etc/ssh/sshd_config. Där det står "#Port 22" så tar du bort # och ändrar siffran till porten du vill använda.

För att sedan ansluta till ssh så använder du kommandot
ssh -p 1234 user@domain
ifall porten du valt exemelvis är 1234. (notera att om du använder scp, så måste du använda -P, alltså versal istället).

Hade min SSH-server på port 22 och undrade varför det alltid lät som disken jobbade, antal attackförsök man utsätts via SSH var enormt. Bytte till port 2222 och antalet gick ner till något enstaka försök per månad. Rent teoretiskt har man inte ökat säkerheten med detta, men i praktiken ökar den rejält då det verkar som väldigt många bot-net har nog med servers som kör SSH på port 22 att jobba med så de bryr sig helt enkelt inte om att scanna andra portar.

Men naturligtvis ska man ändå slå av root-access via SSH och ha bra lösenord på de användare som existerar. Ännu bättre är kanske att helt slå av möjligheten att logga in via lösenord och i stället köra med HostKey/AuthorizedKeys.

Hade min SSH-server på port 22 och undrade varför det alltid lät som disken jobbade, antal attackförsök man utsätts via SSH var enormt. Bytte till port 2222 och antalet gick ner till något enstaka försök per månad. Rent teoretiskt har man inte ökat säkerheten med detta, men i praktiken ökar den rejält då det verkar som väldigt många bot-net har nog med servers som kör SSH på port 22 att jobba med så de bryr sig helt enkelt inte om att scanna andra portar.

Men naturligtvis ska man ändå slå av root-access via SSH och ha bra lösenord på de användare som existerar. Ännu bättre är kanske att helt slå av möjligheten att logga in via lösenord och i stället köra med HostKey/AuthorizedKeys.

om din ssh server är tillgänglig via internet så kolla loggarna. du kommer antagligen snart att se massa bruteforce attacker där nästan alla försöker logga in som root. Fail2ban är ett trevligt litet program som skannar loggar och temp bannar folk efter ett antal misslyckade försök.

edit:

körde en sftp server ett tag. är ingen säkerhets expert men jag stängde iaf av root login och tillät bara en användare med sudo rättigheter att logga in och bara från det lokala nätverket.

sudo apt-get install fail2ban

Klart . Det kommer med en del standardregler om jag minns rätt, för exempelvis SSH.

Den kommer hitta "brute force"-försök även om man inte ställer in "rätt" port, eftersom den bara tittar på tjänstens logg. Det portnumret används till är att definiera vilka portanslutningar från det "elaka" IP:t som ska blockas. Man kan även ställa in `fail2ban` på att blocka klienten på alla portar; då kvittar det vilken port man angivit för tjänsten i fråga.

Kan också notera att om du flyttar din SSH-server från standardporten så kommer `fail2ban` troligen aldrig få något att göra, då i praktiken alla dessa oriktade "brute force"-försök siktar på port 22 (i mindre grad även 222, 2222, samt liknande "vanliga" alternativa portar). Jag tror inte SSH-filtret i `fail2ban` har kickat in här på flera år sedan jag ändrade port, även om det fortsätter att banka konstant på port 22. Det är inte fel att behålla `fail2ban` aktivt ändå; tänkte bara nämna det så att du inte tror att det inte fungerar bara för att det inte nödvändigen loggar några "brute force"-försök. Testa själv att göra några misslyckade inloggningsförsök från en fjärrserver för att se om det fungerar.

En annan sak som dessutom är viktig:

Om du är den enda som använder servern kan du ändra porten till vilken som helst i princip.

Är datorn delad, se till att välja en port under 1024. Portarna <1024 kan nämligen endast öppnas av root, de däröver av vem som helst. Ett teoretiskt scenario är alltså att en användare utan root-tillgång lyckas krascha OpenSSH och sedan sätter igång en fejk-ssh-server på samma port för att se ditt lösenord nästa gång du försöker logga in. Det bästa skyddet mot detta är naturligtvis att använda keybased authentication.