Защита SSH

Эта инструкция показывает, как укрепить SSH на Linux-сервере.

Рекомендуем выполнять изменения по порядку и не закрывать текущую сессию SSH, пока не проверите новую конфигурацию.

Перед началом

Убедитесь, что у вас:

есть доступ к серверу под root или через пользователя с sudo;
используется OpenSSH;
вы понимаете, как вернуть изменения через консоль управления сервером, если отключите доступ случайно.

Если на сервере используется ssh.socket вместо обычного ssh.service, сначала отключите socket-режим:

sudo systemctl stop ssh.socket
sudo systemctl disable ssh.socket

sudo systemctl enable ssh
sudo systemctl restart ssh

Проверить текущий режим можно так:

sudo systemctl status ssh

Шаг 1. Ограничьте доступ по SSH

Основные настройки находятся в файле /etc/ssh/sshd_config.

Запретите вход под `root`

Сначала создайте отдельного пользователя с правами администратора:

useradd -m -U -s /bin/bash -G sudo holu
passwd holu

Затем отключите вход под root:

PermitRootLogin no

Ограничьте время бездействия

Чтобы SSH-сеанс разрывался после простоя, добавьте:

ClientAliveInterval 300
ClientAliveCountMax 1

Разрешите вход только нужным пользователям

Если к серверу должны подключаться только конкретные аккаунты, укажите их явно:

AllowUsers holu holu2

Измените стандартный порт

Смените порт с 22 на любой другой, который вы будете использовать для SSH:

Port SELECTED_PORT

Если вы меняете порт, не забудьте обновить правила фаервола.

Отключите ненужные функции

Отключите функции, которые не нужны для обычного SSH-доступа:

AllowTcpForwarding no
X11Forwarding no
AllowAgentForwarding no
AuthorizedKeysFile .ssh/authorized_keys

Шаг 2. Ограничьте ошибки входа

Чтобы снизить риск перебора пароля, ограничьте число попыток входа:

MaxAuthTries 2

Шаг 3. Включите вход по ключу

Проверьте, что аутентификация по ключу разрешена:

PubkeyAuthentication yes

Создайте ключ на клиенте

На клиентской машине создайте ключ:

ssh-keygen -t rsa -b 4096

Добавьте публичный ключ на сервер

На Linux-клиенте скопируйте ключ так:

ssh-copy-id -i ~/.ssh/id_rsa.pub -p SELECTED_PORT holu@your_host

На Windows можно вручную добавить содержимое публичного ключа в файл:

/home/holu/.ssh/authorized_keys

Проверка подключения по ключу:

ssh -i ~/.ssh/id_rsa -p SELECTED_PORT holu@your_host

Шаг 4. Включите двухфакторную аутентификацию

Если нужен дополнительный уровень защиты, подключите Google Authenticator или Aegis.

Установите пакет

Для Ubuntu / Debian:

apt install libpam-google-authenticator

Для CentOS / RedHat:

yum install epel-release
yum install google-authenticator

Для Arch Linux:

pacman -S libpam-google-authenticator

Для openSUSE / SLES:

zypper install google-authenticator-libpam

Настройте Google Authenticator

Запустите настройку:

google-authenticator

Дальше:

Ответьте y, если хотите time-based токены.
Отсканируйте QR-код в приложении.
Сохраните резервные коды.
Подтвердите остальные вопросы.

Подключите PAM к SSH

В файле /etc/pam.d/sshd закомментируйте строку:

@include common-auth

И добавьте:

auth required pam_google_authenticator.so

В /etc/ssh/sshd_config включите:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Если у вас Ubuntu 22.04 и новее, используйте вместо ChallengeResponseAuthentication:

KbdInteractiveAuthentication yes

Перезапустите SSH:

systemctl restart ssh

Шаг 5. Проверьте конфигурацию

Перед перезапуском SSH проверьте синтаксис:

sshd -t

Если ошибок нет, примените настройки:

systemctl restart ssh

Проверка

После всех изменений:

откройте новое SSH-подключение;
проверьте вход по ключу;
проверьте вход с 2FA, если вы его включали;
убедитесь, что старые способы доступа больше не нужны.

Если вы всё настроили правильно, SSH станет заметно безопаснее.