Безопасность VPS серверов

Добрый вечер.

На сколько я знаю имея доступ SSH можно ходить по всему серверу и смотреть практически все файлы.

Как можно ограничить SSH терминал и тем же обеспечить безопасность сервера?

Что используют опытные Сис Админы когда нужен SSH, но и нужна безопасность сервера

Сообщение отредактировано: staff - 07.09.16, 19:32

Цитата staff @ 07.09.16, 19:31

На сколько я знаю имея доступ SSH можно ходить по всему серверу и смотреть практически все файлы.

Знаешь неправильно.

SSH - обеспечивает доступ с привелегиями залогиненного пользователя. Именно поэтому считается моветоном разрешать логин посредством SSH руту. Чтобы не было дыры/соблазна. Хочешь удаленно поадминистрить - пользуй команду su.

Таким образом. Логинясь посредством SSH ты получаешь ровно такие же права, как бы ты залогинился в локальном терминале.

Цитата staff @ 07.09.16, 19:31

Что используют опытные Сис Админы когда нужен SSH, но и нужна безопасность сервера

По фэншую (именно для SSH):

1) Запретить логин руту напрочь
2) Запретить логин по паролям
3) Разрешить логин по ключам (ключи прописать для нужных пользователей в $HOME/.ssh/authorized_keys
...
x) В пакетном фильтре (для FreeBSD это IPFW или PF) прописать правила на DDOS, SYN Flood, ICMP Flood ... гуглим короч

еще можно если ip доступа известные, то закрыть 22 порт на сервере для всех, оставить только для ипок доступа

Сообщение отредактировано: Besha - 08.09.16, 07:04

Цитата JoeUser @ 07.09.16, 20:20

Знаешь неправильно.

Возможно я не так объяснил свой вопрос.

Допустим есть два пользователя у которых есть доспук к SSH

admin

guest

Далее у каждого пользователя есть своя папка %h

admin /home/admin
guest /home/guest

Пользователь guest может зайти в папку /home/admin и прочитать информацию. Как и зайти в /etc/ и прочитать конфиг файлы сервера.

Т.е. имея SSH прочитать он может практически всё? Как этого можно избежать?

Цитата staff @ 10.09.16, 09:50

Пользователь guest может зайти в папку /home/admin и прочитать информацию.

это правами поправить можно т.е. гостю дать право читать только то что надо
посмотри это http://www.linux.org.ru/forum/admin/9123886

Сообщение отредактировано: Besha - 10.09.16, 11:42

Я бы убедительно посоветовал изменить дефолтный 22 порт на какой-нибудь кракозябистый, типа 7951.
Как ни странно, но просто переназначение порта сильно отбивает желание стороннему злопыхателю шалить с SSH.
Как минимум, злопыхателю нужно просканировать 8к портов, а это доооолго! Дальше начать ломиться по всем открытым портам и искать на каком висит SSH. А дальше уже пытаться его ломать.