Securing SSH: Pierwsza linia obrony Twojego serwera

Dlaczego SSH to Twój priorytet?

Prowadząc serwery od ponad dekady, widziałem tysiące (tak, tysiące dziennie) prób włamań. SSH to absolutnie najczęściej atakowana usługa – boty skanują sieć 24/7, szukając najmniejszej luki. Jeśli zostawisz domyślną konfigurację, to nie jest pytanie 'czy' ktoś się włamanie, ale 'kiedy'. Moje doświadczenie z atakami typu brute-force nauczyło mnie jednego: pasywne podejście to proszenie się o kłopoty. Pamiętam noc, gdy jeden z moich pierwszych serwerów generował gigabajty logów tylko dlatego, że zapomniałem o podstawowych regułach. Nigdy więcej.

key 1. Klucze SSH zamiast haseł: "Święty Graal" bezpieczeństwa

Hasła są słabe. Ludzie używają słabych haseł, a boty mają nieskończoną cierpliwość. Wyłączenie uwierzytelniania hasłem i przejście na klucze RSA (min. 4096 bitów) lub Ed25519 to jedyna droga. To eliminuje 99% automatycznych ataków.

settings_ethernet 2. Zmiana domyślnego portu 22

Słyszę często: "Security by obscurity to żadne security". Prawda. Ale zmiana portu 22 na np. 2222 lub inny wysoki port dramatycznie czyści Twoje logi. Zamiast 5000 prób logowania na godzinę, będziesz miał zero. To pomaga wyłowić prawdziwe zagrożenia z szumu informacyjnego.

person_off 3. Wyłączenie Root Login

Nigdy, pod żadnym pozorem, nie pozwalaj na bezpośrednie logowanie się na konto root. Używaj zwykłego użytkownika z uprawnieniami sudo. To dodatkowa warstwa, którą atakujący musi przebić.

# Podstawowa, bezpieczna konfiguracja SSH
Port 2222
Protocol 2
PermitRootLogin no
MaxAuthTries 3
PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
AllowUsers twoj_user

shield 4. Fail2Ban: Twój automatyczny strażnik

Konfiguracja to nie wszystko. Potrzebujesz aktywnej obrony. Fail2Ban monitoruje logi w czasie rzeczywistym i banuje adresy IP po kilku nieudanych próbach. To jak wynajęcie bramkarza, który wyrzuca z klubu każdego, kto próbuje otworzyć drzwi wytrychem.