Ako imate pristup unix (root) serveru u većini slučajeva koristite ssh za pristup/login na server.
Prvo i osnovno pravilo je da korisnik nesmije biti zauvijek logiran na server. SSH ima mogućnost da korisnika
"izbaci" sa servera ako je korisnik inaktivan odredjeno vrijeme. Ova opcija se podesava, kao i većina globalnih
opcija u /etc/ssh/sshd_config konfig fajlu.
Jednostavno ukucajte:
bo@gradina:~$ vi /etc/ssh/sshd_config
Pronađite varijablu ClientAliveInterval i podesite istu na 300 sekundi (5 minuta) ovako:
ClientAliveInterval 300
ClientAliveCountMax 0
Snimite fajl (u vi editoru vam je to kombinacija esc dvotacka wq, ali ako to ne poznajete preporučujem vi tutorial, pa onda se vratiti na ovaj tekst). Sada restartujte ssh. Na debian sistemima trebate uraditi:
bo@gradina:~$ /etc/init.d/sshd restart
Druga stvar je da zabranite pristup serveru kao korisnik root. Lično mislim da je ovaj savjet bio relevantan
u vrijeme kada nismo koristili ssh za pristup serverima, pa smo bili izloženi snifferima koji su mogli da presretnu nesigurnu "telnet" komunikaciju, ali neka, za neiskusne administratore je bolje da ga poslušaju.
Da biste zabranili korisniku root da se prijavi na sistem podesite ssh config fajl tako što će opcija PermitRootLogin biti postavljena na no:
PermitRootLogin no
Naravno, koristite samo ssh protokol u verziji 2, ssh protokol verzija 1 ne bi trebalo da se koristi nigdje.
Znači, u ssh konfig fajlu podesimo
Protocol 2
Ako imate dosta korisnika na serveru, zašto svakom od njih dati ssh pristup. Web korisnici, ako je web server
u pitanju mogu mijenjati svoje fajlove i preko CMS sistema ili preko ftp-a.
Četvrti savjet je da dozvolite pristup samo onim korisnicima koji imaju dobar razlog da pristupe serveru putem ssh protokola.
Ako želite da dozvolite da haso, huso i root pristupaju preko ssh protokola serveru dodajte u ssh konfig fajl:
AllowUsers root haso huso
I peti savjet je da koristite jake lozinke za pristup serveru.
Evo jednostavne bash funkcije koja će pri svakom pozivu generirati jake lozinke. Jednostavno dodajte u vaš ~/.bashrc.
passwdgen() {
local l=$1
[ "$l" == "" ] && l=20
tr -dc A-Za-z0-9_