Bezpečné vzdálené přihlašování je zásadní součástí správy serverů a síťové infrastruktury. Secure Shell (SSH) poskytuje bezpečný mechanismus pro přihlašování a přenos dat mezi klientem a serverem. V tomto článku se zaměříme na pokročilé bezpečnostní opatření pro SSH na operačním systému CentOS 7, včetně použití klíčové autentizace a zakázání root přihlášení.

Použití klíčové autentizace

Klíčová autentizace poskytuje bezpečnější alternativu k tradiční autentizaci pomocí hesla. Tento proces využívá veřejné a soukromé klíče pro ověření identity uživatele bez potřeby přenášet heslo přes síť.

1. Generování SSH klíčů Na klientově počítači použijte příkaz ssh-keygen pro generování nového SSH klíčového páru. Zadejte místo uložení souboru klíče a heslo pro dodatečnou ochranu soukromého klíče.

2. Kopírování veřejného klíče na server Použijte příkaz ssh-copy-id uživatel@server, kde uživatel je váš uživatelský účet na serveru CentOS 7 a server je adresa serveru. Tento příkaz nakopíruje váš veřejný klíč do souboru ~/.ssh/authorized_keys na serveru.

3. Konfigurace SSH daemonu na serveru Upravte soubor /etc/ssh/sshd_config na serveru, aby klíčová autentizace byla povinná. Nastavte PasswordAuthentication no, což zakáže přihlašování pomocí hesla.

Zakázání root přihlášení

Přihlašování jako root přímo přes SSH představuje značné bezpečnostní riziko. Pro zvýšení bezpečnosti doporučujeme zakázat root přihlášení a používat sudo pro vykonávání privilegovaných operací.

1. Úprava konfigurace SSH daemonu V souboru /etc/ssh/sshd_config najděte řádek PermitRootLogin a změňte jeho hodnotu na no. Tím zakážete přímé přihlašování root uživatele přes SSH.

2. Restartování SSH služby Po uložení změn v konfiguračním souboru restartujte SSH daemon příkazem systemctl restart sshd. Tím se aplikují nové konfigurace.

Další doporučené bezpečnostní opatření

• Změna standardního portu Změnou portu pro SSH (standardně 22) na méně obvyklý můžete snížit počet automatizovaných pokusů o přihlášení.

• Omezení přístupu pomocí firewallu Použijte firewall k omezení přístupu k SSH serveru pouze z důvěryhodných IP adres.

• Použití Fail2Ban Fail2Ban je nástroj, který monitoruje logy a automaticky blokuje IP adresy, které se pokoušejí o neoprávněný přístup.

Implementací těchto pokročilých bezpečnostních opatření výrazně zvýšíte bezpečnost vašeho serveru CentOS 7 při použití SSH. Je důležité si uvědomit, že bezpečnost systému je proces, který vyžaduje neustálou pozornost a aktualizaci v reakci na nově objevené hrozby.