Frage Was ist der beste Weg meinen EC2 Server in Bezug auf SSH zu sichern?


Ich habe eine Amazon ec2-Instanz und war neugierig, ob ich den Benutzernamen ändern sollte (der Standardwert ist ubuntu) oder nicht?

Da Sie einen öffentlichen SSH-Schlüssel benötigen, um auf den Server zuzugreifen, glaube ich nicht, aber die Tatsache bleibt - sollte ich den Benutzernamen für diesen Server ändern?


4
2017-11-09 00:40


Ursprung




Antworten:


Sofern Sie die Benutzer- / Passwort-Authentifizierung auf Ihrem Server nicht deaktiviert haben, würde ich vorschlagen, sie zu ändern. Aus Sicherheitsgründen wird es eine Komponente der Authentifizierung erleichtern.

Einrichten der SSH-Schlüsselauthentifizierung

User@Host:~$ ssh-keygen -t rsa -b 4096

Nach dem Generieren Ihres Schlüssels würden Sie Folgendes tun:

User@Host:~$ ssh-copy-id <username>@<host>

Sie möchten dann überprüfen, ob der Schlüssel funktioniert, bevor Sie die Kennwortauthentifizierung deaktivieren.

User@Host:~$ ssh <username>@<host>

Sie sollten nach der Passphrase gefragt werden, die Sie beim Erstellen des Schlüssels festgelegt haben. Wenn Sie es sind und Sie eine Verbindung zum Server herstellen, können Sie die Kennwortauthentifizierung jetzt deaktivieren.

modifiziere deine /etc/ssh/sshd_config durch Ändern der folgenden Zeile:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

Danach möchten Sie den SSH-Server neu laden

User@Host:~$ /etc/init.d/ssh reload

3
2017-11-09 16:03



Danke, standardmäßig ist es nur SSH-Schlüssel, also denke ich, dass es wahrscheinlich sicher ist, aber ich werde weitermachen und es versuchen. - jrg♦


Wie bereits erwähnt, ist der Wechsel von "Standard" in Sicherheitsfragen fast immer eine gute Idee. Wenn Sie Ihren Benutzernamen von ubuntu auf etwas anderes ändern, kann dies den unbefugten Zugriff verhindern. Jedes System verfügt jedoch über ein Stammkonto, und mit diesem Beispiel können Sie andere Sicherheitsmaßnahmen für Ihre Maschine / Benutzer bereitstellen.

  1. Stellen Sie sicher, dass die root-Anmeldung deaktiviert ist.
  2. Verhindern Sie die Kennwortanmeldung für Benutzer auf Ihrem Computer. (Dies ist besonders wichtig, wenn Ihr Ziel-Benutzername bekannt ist)
  3. Installieren Sie ein Mittel zum Verbot von Brute-Force-Login-Versuchen (fail2ban ist eine gute Option)
  4. Ändern Sie die Server-Portnummer.
  5. Whitelists sind besser als Blacklists. Wenn Sie Ihrem SSH-Server mitteilen können, welche IPs eine Verbindung herstellen dürfen, können Sie die Anzahl der Angriffe drastisch reduzieren. (Dies kann kompliziert sein und Probleme in der Zukunft verursachen, also lies und sei vorbereitet, wenn du es so weit nimmst)

1
2017-11-09 17:39