Kedvenc Linuxod alapesetben, a biztonságod érdekében, nem engedi meg, hogy rendszergazdaként jelentkezz be a gépre. Először "mezei" felhasználóként kell bejutnod majd ha rendszergazdaként szeretnél futtatni valamit, használhatod a sudo alrendszert. Ugyan ezt a megoldást ki lehet kapcsolni, egy jól irányzott sudo su parancs után kiadott passwd-vel (így már a rootnak is lesz jelszava és be is tudunk lépni vele), de ellenjavallott.
Alaptelepítés után tűzfalat sem találsz a gépeden. Miért? Ez hiba? Nem veszélyes ez? Nos nem. A filozófia lényege: az alaptelepítés során feltelepülő szolgáltatások nem fogadnak el kapcsolatokat külső forrásból. Ezt nagyon egyszerűen ellenőrizheted is egy parancsal:
sudo netstat -plut
A kimenetben a Local Address oszlop az érdekes. Itt minden olyan szolgáltatás amely kivülről is elfogad kapcsolatokat egy csillagal van megjelölve (*). Itt az alaptelepítés után csak olyan szolgáltatásokat találhatsz amelyek a saját gépedről (localhost) fogadnak el kapcsolódási kérést. Ha már olyan szolgáltatást telepítesz amely elfogad külső kéréseket érdemes korlátozni egy tűzfal segítségével, hogy ki honnan esetleg mikor férhet hozzá. Asztali rendszerre grafikus felületen egyszerűen konfigurálható a firestarter nevű tűzfalcsomag.
Minden rendszergazda vagy gyakorlottab felhasználó használja az ssh-t távoli bejelentkezésre. Ubuntu-ra az OpenSSH telepíthető csomagból. Nagyon kényelmes lezárt kapu, a rendszeredhez amíg csak te ismered a felhasználónevet és a jelszót.
Szóval egy jól irányzott (apt-get install ssh openssh-server) parancs után van egy géped amely futtatja az ssh szolgáltatást. Az alapértelmezett ssh port ismert. Jellemző, hogy sokan írnak gonosz kis programockákat amivel próbálkoznak bejutni különféle felhasználónév/jelszó kombinációkat megadva. Érzed, hogy ezt a szolgáltatást minél biztonságosabbá kell tenni? Hogyan? Kulcsszavakban (ssh beállítások, nyíl/titkos kulcspáron alapuló azonosítás, port áthelyezés, fail2ban, tűzfal).
Alapesetben mit tud a támadó?
- tudja, hogy szerverünk futtatja az ssh-t.
- hogy ezt a 22-es porton teszi.
- hogy felhasználónév/jelszó alapú szöveges azonosítást végzünk.