Prisijungimo prie serverio SSH naudojant konkretų IP adresą(-us)

iv_vytenisg

Siekiant apsaugoti serverį nuo įsilaužimų bei bandymų atspėti slaptažodį galima imtis įvairių veiksmų, kaip pavyzdžiui, 2FA (dviguba autorizacija), Fail2Ban taisyklių arba SSH rakto naudojimo. Tačiau turbūt paprasčiausias būdas apsisaugoti - leisti prisijungimą prie serverio naudojant tik konkretų IP adresą, potinklį ar adresų ruožą. Šis apribojimas nėra naudingas serverių administratoriams, kurie jungiasi prie serverio iš skirtingų lokacijų arba naudojasi mobiliu internetu. Tačiau jeigu prie serverio visada yra jungiamąsi jungiantis per VPN, būnant darbo vietoje arba namuose maudojant tą patį IP adresą, tokiu atveju SSH prisijungimo pririšimas prie IP yra efektyvus būdas apsisaugant nuo nepageidaujamo susijungimo iš išorės.

Šioje pamokoje pateiksime instrukciją, kaip apriboti prisijungimą prie Linux bei Windows serverių.

0. Preliminarūs reikalavimai

* Linux ar Windows dedikuotas serveris naudojantis mūsų parengą operacinės sistemos arba serverio valdymo pulto šabloną.

1. Prisijungimas naudojant konkretų IP adresą ar adresų ruožą prie Linux serverio.

Visų pirma prisijunkite prie serverio naudodamiese terminalu. Apribojimui naudosime hosts failą, kuriame nurodysite IP adresą ar potinklį. Failo atidarymui naudojame nano teksto redagavimo programą. Įveskite šią komandą:

nano /etc/hosts.allow

Šiame faile įveskite žemiau pateiktą eilutę:

sshd: norimas.ip.adresų.ruožas./32, konkretus.ip.adresas.prisijungimui

Vietoje žodinių reikšmių įveskite savo naudojamą IP adresą ar potinklį ir išsaugokite pakeitimus.

SVARBU: prieš išsaugodami kelis kartus patikrinkite ar nurodytas IP adresas ar ruožas yra teisingai įvestas. Kitaip nebegalėsite prisijungti prie serverio.

Tada atsidarykite /etc/hosts.deny failą:

nano /etc/hosts.deny

Ir įveskite žemiau pateiktą eilutę, kuri nurodo, kad visi kiti bandymai prisijungti prie kitų IP adresų, nei nurodytų hosts.allow faile, bus atmesti:

sshd: ALL

Ir viskas - šių veiksmų pilnai užteks norint apsisaugoti nuo brute-force atakų ir prisijungimų iš kito IP prisijungimą žinantiems asmenims. Bandant prisijungti prie serverio bus pateikiamas pranešimas:

ssh_exchange_identification: read: Connection reset by peer

2. Prisijungimas naudojant konkretų IP adresą, potinklį ar adresų ruožą prie Windows serverio.

Prisijunkite prie Windows serverio. Toliau turite atlikti esamos Remote Desktop taisyklės redagavimą Windows ugniasienėje:

1. Paspauskite ant Start mygtuko apatiniame kairiąjame kampe;

2. Dešiniau ties Windows Server skiltimi matysite kvadratą su užrašu Windows Administrative Tools;

3. Atsidariume lange žemiau matysite nuorodą į Windows Defender Firewall with Advanced Security;

4. Kairiame kampe matysite meniu su Inbound Rules pasirinkimu;

5. Jums bus pateikiamos visos taisyklės, kuriomis vadovaujasi Windows ugniasienė. Šiame sąraše susirankite Remote Desktop - User Mode (TCP-In) taisyklę:

6. Jums bus atidaromas nustatymų langas, kuriame pasirinkite Scope, ties Remote

IP address pasirinkite These IP addresses ir ten mygtuką Add:

7. Atsidariusiame lange pasirinkite IP address or subnet, jeigu norite pridėti konkretų IP adresą ar potinklį, arba This IP address range, jeigu norite pridėti IP adresų ruožą. Atlikus įvėdimą pasirinkite OK:

Nurodžius IP adresą(-us) taisyklės nustatymuose pasirinkite Apply. Atlikus šį veiksmą prie serverio galės prisijungti tik naudotojai, kurių IP adresas yra tarp anksčiau nurodytų adresų.

SVARBU: prieš atsijungiant nuo serverio kelis kartus pertikrinkite ar nurodytas IP adresas ar ruožas yra teisingai įvestas. Kitaip nebegalėsite prisijungti prie serverio iš naujo.