Root пароли к ssh

По умолчанию в SSH root не включен из соображений безопасности. Однако, если вы управляете большим количеством систем и вам нужен постоянный root-доступ для выполнения скриптов, автоматизации и т. Д., Включение этой функции является обязательным.

Чтобы было ясно, включение входа в систему Root через SSH опасно. Не делайте этого, если вы новичок в SSH!

Первым шагом к включению входа в систему с правами root через SSH является включение учетной записи Root. Для многих дистрибутивов Linux (Ubuntu и ему подобных) Root не активен в целях безопасности. Вместо этого пользователи делают все через привилегии sudo. По большей части не использовать учетную запись Root — это нормально, и sudo справится с этой задачей. Однако при использовании SSH пользователям необходимо знать пароль root.

Сначала войдите на свой удаленный сервер / ПК, на котором вы хотите удаленно включить Root over SSH:

Если вы настроили свой дистрибутив Linux и не настраивали пользователя Root, вам необходимо выполнить следующие шаги, чтобы настроить Root. Пожалуйста, поймите, что этот процесс не будет работать без пользователя, который может использовать sudo. Для начала откройте терминал. В терминале запустите:

Использование sudo с -s предоставит пользователю оболочку Root, как и вход в систему с помощью su. Отсюда можно вызвать команду «новый пароль» для пользователя Root.

Запуск passwd предложит пользователю указать «новый пароль UNIX». Введите новый пароль для учетной записи Root на вашем ПК. В целях безопасности не используйте тот же пароль для Root, что и для вашей обычной учетной записи. Обязательно создайте безопасный, но запоминающийся пароль для учетной записи.

После установки пароля выйдите из оболочки Root с помощью exit.

Наконец, убедитесь, что новый пароль Root работает, войдя в него через su.

Включить вход в систему с правами root

Примечание. Не хотите удаленно изменять свой SSH-сервер? Измените его локально, а не в терминале.

Мы подключены (удаленно) через SSH к серверу SSH. Затем повысите обычное соединение до Root-доступа, войдя в систему через su.

Затем, используя текстовый редактор Nano, откройте файл конфигурации SSH-сервера.

Просмотрите файл конфигурации, найдите «PermitRootLogin». Перед ним может стоять «нет». В этом случае измените «нет» на «да».

В других случаях SSH «PermitRootLogin» может сказать «запретить пароль». Удалите «запретить-пароль» и измените его на «да».

После изменения настроек Root для SSH-сервера вам необходимо сохранить изменения конфигурации. Изменения конфигурации сохраняются в Nano при нажатии комбинации клавиш Ctrl + O. Закройте редактор Nano, нажав Ctrl + X, когда конфигурация сохранится правильно.

Применение корневых настроек

Теперь, когда в настройках включен вход в систему с правами root, вам необходимо перезапустить демон SSH, чтобы применить изменения. На большинстве компьютеров с Linux это легко сделать с помощью systemd. В терминале получите root-доступ с помощью su или sudo:

После получения root используйте systemd для перезапуска демона SSH.

systemctl restart sshd

Не использовать systemd? Вместо этого попробуйте эту команду:

service ssh restart

Если ни одна из команд не работает для перезапуска демона SSH, надежный способ — просто перезапустить сервер, на котором запущен SSH:

Отключить root-вход

Больше не хотите входить в систему через SSH? К счастью, эту функцию так же легко отключить, как и включить. Первый способ — просто заблокировать учетную запись Root. Выполнение этого способа позволяет включать и выключать параметр на лету, разблокировав учетную запись Root. Чтобы заблокировать Root, получите оболочку суперпользователя через sudo и запустите:

passwd —lock root

Эта команда шифрует учетную запись root и фактически отключает ее. Чтобы вернуть его для использования с Root over SSH, следуйте инструкциям в верхней части статьи.

В качестве альтернативы, чтобы полностью отключить вход в систему Root, откройте терминал (с Root):

В файле конфигурации SSH найдите «PermitRootLogin» и измените его с «да» на «нет».

Нажмите Ctrl + O, чтобы сохранить, выйдите, нажав Ctrl + X, а затем перезагрузитесь. После сброса вход в систему Root работать не будет.

Атака брутфорса состоит в том, что злоумышленник вводит множество паролей или парольных фраз с надеждой на правильное угадывание.

Атакующий систематически проверяет все возможные пароли и парольные фразы, пока не будет найден правильный.

В этой статье я расскажу о различных способах предотвращения атак брута на SSH на платформе Linux.

Эта статья была написана с использованием CentOS 7, поэтому можно с уверенностью сказать, что она также полностью охватывает RHEL 7, Fedora, Oracle Enterprise Linux и вообще все семейство операционных систем Red Hat и, возможно, Novell SLES и OpenSUSE.

Предотвращение брутфорс атак на SSH

Есть несколько методов, с помощью которых вы можете остановить и предотвратить переборы паролей SSH.

Я постараюсь рассказать о некоторых из них в этой статье.

Блокировка учетной записи после X неудачных попыток входа

Вы можете реализовать функцию блокировки учетной записи, используя pam_tally2 или pam_faillock, чтобы предотвратить атаки SSH методом перебора.

При этом система заблокирует любую учетную запись после определенного количества неудачных попыток входа в систему.

Аккаунта используя pam_tally2

Этот модуль поддерживает количество попыток доступа, может сбросить счетчик при успешном завершении, может запретить доступ, если слишком много попыток завершилось неудачно.

pam_tally2 – это (необязательное) приложение, которое можно использовать для опроса и манипулирования файлом счетчика.

Оно может отображать количество пользователей, устанавливать индивидуальные значения или сбрасывать все значения.

Установка искусственно высоких значений может быть полезна для блокировки пользователей без изменения их паролей.

Ниже показаны два файла конфигурации, которые должны быть изменены, чтобы выполнить блокировки учетной записи.

Добавьте следующую строку в ваши /etc/pam.d/system-auth и /etc/pam.d/password-auth

Если вы хотите исключить блокировку пользователя root после неудачных попыток входа в систему, удалите even_deny_root из выделенного раздела.

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 onerr=fail
account required pam_tally2.so

Пример файла system-auth и password-auth с данными изменениями

Синтаксис должен быть добавлен в указанном порядке с onerr = fail в конце, иначе изменения не будут работать.

Далее вы можете попробовать выполнить вход по SSH на этом хосте.

Как говорит rsyslog, пользователь ‘deepak’ был заблокирован

2 Блокировка аккаунта используя pam_faillock

Модуль pam_faillock ведет список неудачных попыток аутентификации для каждого пользователя в течение указанного интервала и блокирует учетную запись в случае, если было недопустимое количество попыток входа.

Этот модуль также использует те же файлы pam.d для блокировки учетной записи.

auth required pam_faillock.so preauth silent deny=3 even_deny_root fail_interval=900 unlock_time=600
auth required pam_faillock.so authfail deny=3 even_deny_root fail_interval=900 unlock_time=600

account required pam_faillock.so

Пример файла system-auth и password-auth с нашими изменениями:

Убедитесь, что система использует сильное хеширование

Убедитесь, что ваша система уже использует хеширование SHA-256 или SHA-512, что усилит хеши в нашем файле /etc/shadow и предотвратит атаки SSH методом брута.

Проверьте существующий алгоритм хеширования

Чтобы проверить поддерживаемые алгоритмы хеширования

Чтобы изменить текущий алгоритм хеширования

# authconfig —passalgo=sha512 —update

Чтобы заставить всех пользователей без полномочий root изменить свой пароль при следующем входе в систему, используйте приведенный ниже скрипт

Разрешить или запретить вход по SSH с помощью hosts. allow и hosts. deny

tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.

Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:

Система полностью отключит доступ к демону SSH с любого клиента.

Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:

sshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net

Применение SSH Rate Control, используя IPtables

Вы можете использовать iptables, чтобы применить контроль доуступа по SSH, чтобы убедиться, что никому не разрешено подключаться к вашей системе через регулярные промежутки времени, чтобы предотвратить атаки SSH методом  брутфорса.

Эти 3 правила устанавливают частоту в 5 новых попыток подключения в минуту, но вам необходимо настроить эти значения в соответствии с вашими потребностями.

Все логи этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.

Последнее правило – ACCEPT для SSH на порту 22.

Это правило по умолчанию существует в системе.

Проверьте внедренные правила iptables

Проверьте, работают ли правила iptables

После 5 успешных сеансов за одну минуту шестой сеанс был заблокирован нашим правилом IPtables.

Aug 31 17:44:11 rhel-7.example kernel: SSH-HIT-RATE: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=10.0.2.11 DST=10.0.2.11 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52655 DF PROTO=TCP SPT=58974 DPT=22 WINDOW=43690 RES=0x00 SYN URGP=0

Использование /etc/ssh/sshd_config

Наиболее рекомендуемое действие для предотвращения атак на SSH будет состоять в том, чтобы предотвратить вход пользователя root напрямую через SSH.

Для этого вам нужно изменить строку, которая гласит:

Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать

Рекомендуется использовать PasswordAuthentication no в sshd_config, чтобы убедиться, что ввод пароля всегда проходит через PAM.

Но перед внесением этого изменения убедитесь, что вы включили аутентификацию на основе ключей для подключения к вашему хосту.

Изменение порта SSHD

По умолчанию все мы знаем, что SSHD использует порт 22, поэтому любому злоумышленнику очень просто попытаться подключиться к вашей Linux-системе, что увеличит вероятность SSH-атак методом перебора.

Таким образом, для повышения безопасности и предотвращения перебора паролей SSH вы можете изменить номер порта SSH на любое случайное число в диапазоне от 1025 до 65535, поскольку злоумышленники предположят, что порт 22 будет использоваться для протокола ssh.

Найдите эту строку в /etc/sshd/sshd_config:

Измените это на что-то вроде этого:

Номер порта 1101 является примером.

Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:

Использование Fail2Ban

🔒 Как установить Fail2Ban для защиты SSH на CentOS / RHEL 8

♟ Как установить Fail2Ban на CentOS 7

Как включить белый список в Fail2ban в Debian Linux

Fail2ban установка и настройка. Дефолтные настройки

Двухфакторная аутентификация с использованием Google Authenticator

Вы можете использовать Google Authenticator с открытым исходным кодом, чтобы включить двухфакторную аутентификацию с помощью модуля pam_google_authenticator.so.

После того, как вы включите двухфакторную аутентификацию, каждый раз, когда кто-то пытается выполнить SSH на вашем хосте Linux, он получит запрос на ввод кода подтверждения перед вводом пароля пользователя.

Ниже приведен фрагмент такой двухфакторной аутентификации.

I have a remote host,
previously I can ssh into it with root and password

and then su root and input password

but today, in both ways, my password is always incorrect, like

Why did this happen? How can I solve this problem?

42 gold badges164 silver badges222 bronze badges

asked Jun 14, 2013 at 19:40

Do you have ssh as root disabled? Check your sshd configuration (possibly /etc/ssh/sshd_config) and look for the line PermitRootLogin no. Change the no to yes and restart sshd (most likely either service ssh restart or service sshd restart).

Some distributions (e.g., Ubuntu) default to without-password for PermitRootLogin such that root login is allowed via public key authentication, but not with a password.

answered Jun 14, 2013 at 19:51

14 silver badges20 bronze badges

For first time if you are access SSH remote server in new system, just update it. Open the ssh configuration file,

# vim /etc/ssh/sshd_config

Restart your ssh service.

restart ssh server.

answered Oct 12, 2015 at 10:18

This prohibits keyboard interaction while logging into remote server.

answered May 27, 2022 at 4:53

What am I missing? I change the root password on a unix machine, then try to log in with that password. PasswordAuthentication is set to yes in sshd_config and the sshd daemon has been restarted. This behavior happens whether I log in remotely or locally:

asked Aug 18, 2012 at 6:30

Check this file: /etc/ssh/sshd_config and search for the line:

replace it by:

answered Aug 18, 2012 at 7:06

1 silver badge4 bronze badges

You may get more informations on the error by reading the auth.log

Fix them, and then service sshd restart

answered Aug 4, 2022 at 13:37

I had the same problem and I solved it.

My keyboards were not configured in the same manner between an ssh console and the server’s keyboard. The key + on my numpad was, in fact, the =; but I never find out why.

Check if you enter the same characteres.

7 gold badges33 silver badges45 bronze badges

answered Oct 1, 2015 at 14:59

You are logging in to localhost with ssh. This is usually not necessary and may carry some overhead. Try

in a terminal and enter the password.

answered Oct 1, 2015 at 16:43

9 gold badges47 silver badges86 bronze badges

В этом руководстве мы рассмотрим, как разрешить или запретить доступ SSH к определенному пользователю или группе в Linux

Файл конфигурации OpenSSH по умолчанию имеет две директивы для разрешения и запрета доступа SSH к определенному пользователю (пользователям) или группе.

Во-первых, мы увидим, как разрешить SSH-доступ для определенного пользователя, например sk.

Обратите внимание, что все команды должны выполняться как пользователь root.

Разрешить SSH Доступ пользователю или группе

Перейдите на ваш удаленный сервер и отредактируйте файл sshd_config:

$ sudo vi /etc/ssh/sshd_config

Добавьте или отредактируйте следующую строку:

Замените «sk» на свое имя пользователя.

Вы также можете указать несколько пользователей, как показано ниже.

Чтобы разрешить целую группу, скажем, например, root, добавьте / отредактируйте следующую строку:

Те, кто входит в группу, могут передавать ssh на удаленный сервер.

Сохраните и закройте конфигурационный файл SSH.

Перезапустите службу SSH, чтобы изменения вступили в силу.

$ sudo systemctl restart sshd

Теперь пользователям sk, itsecfor или всем пользователям под группой «root» разрешено ssh на ваш удаленный сервер. Другие пользователи (кроме sk, itsecforu и пользователи «root») не могут.

Если вы попытаетесь передать ssh на удаленный сервер с помощью любого из недопустимых пользователей, вы получите следующее сообщение об ошибке:

Permission denied, please try again.

Теперь давайте рассмотрим, как запретить / отключить доступ ssh определенному пользователю или группе.

Запретить SSH Доступ пользователю или группе

Чтобы отключить или запретить доступ SSH к любому пользователю или группе, вам необходимо добавить / изменить следующие директивы в файле sshd_config вашего удаленного сервера.

Чтобы запретить доступ SSH к определенному пользователю с именем «sk», отредактируйте файл sshd_config:

Добавьте / отредактируйте следующую строку в файле sshd_config.

Аналогично, чтобы запретить доступ SSH нескольким пользователям, укажите имена пользователей как показано ниже.

Чтобы запретить доступ SSH ко всей группе, например root, добавьте:

Сохраните и закройте файл конфигурации ssh.

Перезапустите службу ssh, чтобы внести изменения.

если вы пытаетесь использовать ssh для сервера с использованием запрещенных пользователей, например sk:

Появится следующее сообщение:

Что еще более важно, вы также должны отключить вход пользователя root.

Доступ root по ssh считается плохой практикой с точки зрения безопасности.

Чтобы отключить root ssh login, отредактируйте файл sshd_config:

$ sudo vi / etc / ssh / sshd_config

Найдите следующую строку, Раскомментируйте ее и установите значение равным no.

Перезапустите службу SSH. Вы только что отключили вход ssh root.

SSH (Secure Shell) используется для безопасной обработки сетевых сервисов в незащищенной сети.

Некоторые примеры включают в себя: удаленную командную строку, вход в систему и удаленное выполнение команд.

В этой статье вы узнаете, как включить SSH-доступ для пользователя root на сервере/настольном Ubuntu 20.04.

Разрешение входа root по SSH в Ubuntu 20. 04, пошаговые инструкции

Откройте файл /etc/ssh/sshd_config с правами администратора и измените следующую строку:

FROM:
#PermitRootLogin prohibit-password
TO:
PermitRootLogin yes

Быстрый способ выполнить эту работу – просто использовать команду sed, как показано ниже:

$ sudo sed -i ‘s/#PermitRootLogin prohibit-password/PermitRootLogin yes/’ /etc/ssh/sshd_config

Перезапустите службу SSH:

По умолчанию пароль root не установлен в Ubuntu 20.04, и появится сообщение об ошибке:

По этой причине нам необходимо установить пароль root.

При появлении запроса введите текущий пароль пользователя, а затем новый пароль root:

Учитывая, что ваша система Ubuntu 20.04 разрешает входящий трафик на порту 22 по ssh, теперь вы должны быть готовы к SSH-входу в систему от пользователя root:

По умолчанию в Linux Debian для суперпользователя root подключение к серверу по SSH не разрешен.

Если попробовать авторизоваться рутом, то, скорее всего, отобразится сообщение, что доступ не разрешен:

Запрет подключения к серверу по SSH пользователю root обусловлен требованием безопасности, но иногда все-таки нужно поработать именно рутом, для этого можно ВРЕМЕННО разрешить ему подключаться по SSH.

Это можно сделать следующим образом:

1. Создать пользователю root пароль (если нет) с помощью следующей команды:

Нажать Enter и ввести пароль 2 раза (консоль об этом напишет).

2.Открыть с помощью любого текстового редактора файл с настройками SSH, например, с помощью редактора VIM (VI):

И для параметра PermitRootLogin изменить значение с no на yes:

Иногда параметр PermitRootLogin закомментирован, соответственно, нужно его раскоментировать.

Сохранить изменения в файле.

В некоторых случаях параметр PermitRootLogin может иметь значение without-password или prohibit-password — это значит, что root разрешено подключаться средствами GSSAPI (не парольной аутентификации), например, с помощью смарт-карты или отпечатка пальца (это, конечно же, редкость).

3. Перезапустить ssh server командой:

(если не помогает, перезапустить сервер полностью 🙂

После этого пользователь root сможет подключиться по SSH.

Хотя это и не рекомендуется делать из соображений безопасности, иногда возникает необходимость разрешить пользователю root доступ через SSH. В данной статье пойдет речь о том, как это сделать.

Описание

В последних версиях Ubuntu, например, доступ для пользователя root — отключен, как впрочем и сама учетная запись root. Чтобы это изменить, необходимо внести правки в конфигурационный файл ssh, который обычно расположен по следующему пути: /etc/ssh/sshd_config

Разрешаем root доступ по SSH с вводом пароля

Первым делом ищем в конфигурационном файле строчку PermitRootLogin, скорей всего она будет закомментирована символом #. Для примера в Ubuntu 18.04.3 эта строчка имеет следующий вид:

Чтобы разрешить доступ для рута через ssh, необходимо эту строчку раскомментировать и заменить на следующую:

Необходимо иметь ввиду, что к моменту внесения этих изменений, пользователь root уже должен быть активен в системе, чтобы под ним можно было зайти — о том, как это сделать, можно прочитать в данной статье.

После внесения изменений, необходимо применить конфигурацию, сделать это можно следующей командой:

sudo service sshd reload

Теперь можно попробовать зайти на сервер через ssh под учетной записью root и введя его пароль.