# всем разрешаем доступ по паролю

PasswordAuthentication yes

# root будет использовать только сертификат

match user root

PasswordAuthentication no

KbdInteractiveAuthentication no

▪Используя TCP Wrapper, также можем ограничить доступ к любому сервису только с определенных IP, для этого следует лишь прописать в файл /etc/hosts.allow или /etc/hosts.deny нужное правило. Разрешим в /etc/hosts.allow доступ только с нужной подсети:

sshd : 192.168.1.0/24 : allow

Или в /etc/hosts.deny:

sshd : ALL : deny

sshd : ALL EXCEPT 192.168.1.0/24 : allow

▪Пакетный фильтр позволяет очень точно задавать параметры соединений, отбрасывая ненужные пакеты. С его помощью легко ограничить доступ к 22-му порту только определенным адресам. Пример:

iptables -A INPUT -s !192.168.0.1 -p tcp -m tcp --dport 22 ↵

-j REJECT —reject-with icmp-port-unreachable

▪Fail2ban и Sshguard - специальные утилиты, которые помогают защитить систему от подозрительных действий. Эти программы фильтруют пакеты по портам и IP-адресам и блокируют подозрительные IP-адреса, используя iptables или TCP Wrapper.

Fail2ban был создан для защиты SSH, но сейчас он может быть настроен для использования с различными приложениями. Принцип работы очень прост - демон периодически проверяет журналы на наличие записей о подозрительной активности и блокирует подозрительные IP-адреса.

По умолчанию Fail2ban защищает только SSH, но может быть настроен для контроля нескольких сервисов одновременно. Все события отображаются в журнале fail2ban.log и могут быть отправлены по электронной почте.

В Ubuntu и Debian устанавливается командой:

$ sudo apt-get install fail2ban

▪Все настройки производятся в нескольких файлах, размещенных в каталоге /etc/fail2ban. В fail2ban.conf хранятся параметры запуска самого демона, в jail.conf описываются контролируемые сервисы (внутри секции SSH).

[ssh]

enabled = true

port = 22

filter = sshd

logpath = /var/log/auth.log

maxretry = 3

▪Фильтры и действия настраиваются в файлах в подкаталогах filter.d и action.d. Файлы по умолчанию имеют расширение .conf и их лучше не изменять, включая jail.conf. Лучше все изменения делать в файле с расширением .local (например, jail.local), который переопределяет настройки из первого файла и сохраняет их при обновлении. Для проверки работы фильтра можно использовать утилиту fail2ban-regex.

Мы в телеграме!

Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется.

Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX", зависящих от версии SSH-клиента. После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза - при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() и kex_assemble_names().

Создание рабочего эксплоита для уязвимости считается маловероятным, так как процесс эксплуатации слишком усложнён - современные библиотеки распределения памяти предоставляют защиту от двойного освобождения памяти, а процесс pre-auth, в котором присутствует ошибка, выполняется с пониженными привилегиями в изолированном sandbox-окружении.

Кроме отмеченной уязвимости в новом выпуске также устранены ещё две проблемы с безопасностью:

• Ошибка при обработке настройки "PermitRemoteOpen", приводящая к игнорированию первого аргумента, если он отличается от значений "any" и "none". Проблема проявляется в версиях новее OpenSSH 8.7 и приводит к пропуску проверки при указании только одного полномочия.

• Атакующий, контролирующий DNS-сервер, используемый для определения имён, может добиться подстановки спецсимволов (например, "*") в файлы known_hosts, если в конфигурации включены опции CanonicalizeHostname и CanonicalizePermittedCNAMEs, и системный резолвер не проверяет корректность ответов от DNS-сервера. Проведение атаки рассматривается как маловероятное, так как возвращаемые имена должны соответствовать условиям, заданным через CanonicalizePermittedCNAMEs.

Другие изменения:

• В ssh_config для ssh добавлена настройка EnableEscapeCommandline, управляющая включением обработки на стороне клиента escape-последовательности "~C", предоставляющей командную строку. По умолчанию обработка "~C" теперь отключена для использования более жёсткой sandbox-изоляции, что потенциально может привести к нарушению работы систем, в которых "~C" используется для перенаправления портов во время работы.

• В sshd_config для sshd добавлена директива ChannelTimeout для задания таймаута неактивности канала (каналы, в которых за указанное в директиве время не зафиксирован трафик, будут автоматически закрыты). Для сеанса, X11, агента и перенаправления трафика могут быть заданы разные таймауты.

• В sshd_config для sshd добавлена директива UnusedConnectionTimeout, позволяющая задать таймаут для завершения клиентских соединений, находящихся определённое время без активных каналов.

• В sshd добавлена опция "-V" для вывода версии по аналогии с подобной опцией в клиенте ssh.

• В вывод "ssh -G" добавлена строка "Host", отражающая значение аргумента с именем хоста.

• В scp и sftp добавлена опция "-X" для управления такими параметрами протокола SFTP, как размер буфера копирования и число ожидающих завершения запросов.

• В ssh-keyscan разрешено сканирование полных CIDR-диапазонов адресов, например, "ssh-keyscan 192.168.0.0/24".

Подключаемся к серверу через программу MobaXterm

1. В верхнем левом углу выбираем Session,

2. В появившемся окне нажимаем SSH,

3. В поле Remotehost указываем <ip_адрес_сервера>,

4. Ставим галочку Specifyusername,

5. Указываем пользователя root,

6. Нажимаем ОК.

Появляется окно для ввода командной строки. Далее введите пароль пользователя root(который предоставляется провайдером). При вводе пароля вы его не увидите, т.к. символы скрыты.

Поздравляю, завершен этап подготовки программы для работы с сервером - для последующего ввода команд и установки ноды.

Подключаемся к серверу через программу Putty

1. В поле HostName (orIPaddress) указываем <ip_адрес_сервера>

2. В поле SavedSessions указываем любое название,

3. Далее нажимаем Save

4. Нажимаем Open

Появится окно терминала. В терминале вводим root, нажимаем enter.
Появится следующая строка, в которой вводим пароль (который предоставляется провайдером). При вводе пароля вы его не увидите, т.к. символы скрыты.

После ввода пароля, нажимаете Enter, и увидите окно, как на картинке ниже.

Поздравляю, завершен этап подготовки программы для работы с сервером - для последующего ввода команд и установки ноды.

Подключаемся к серверу через программу RoyalTS

Изначально создаем рабочее пространство.

1. В верхнем левом углу нажимаем New,

2. В поле DisplayName указываем любое название,

Добавляем терминал для работы с сервером:

1. Нажимаем Add,

2. Из списка выбираем Terminal (based on PuTTy),

3. Нажимаем OK.

Далее в появившемся окне:

1. В поле DisplayName указываем любое название,

2. В поле ComputerName указываем <ip_адрес_сервера>,

3. Нажимаем OK.

Далее дважды щелкаем по созданному соединению или нажимаем Connect

Появится окно терминала. В терминале вводим root, нажимаем enter.
Появится следующая строка, в которой вводим пароль (который предоставляется провайдером). При вводе пароля вы его не увидите, т.к. символы скрыты.

После ввода пароля, нажимаете Enter, и увидите окно, как на картинке ниже.

Поздравляю, завершен этап подготовки программы для работы с сервером - для последующего ввода команд и установки ноды.

🚀🚀🚀Заходи в наш Телеграм

💥💥💥Наш YouTube

Наши рефералки на провайдеры со скидками для вас:

🔥VDSina - (скидка 10% на все серверы)

🔥Netcup.eu - 36nc16639184580 (ваучер со скидкой 5 евро новым клиентам)