© Никоноров М.Ю, 2014 
72 
b) Редактируем конфигурационный файл SSH 
nano /etc/ssh/sshd_config 
И в любое место этого файла пишем: 
AllowUsers username (допускаем только что созданного пользователя username к доступу по SSH) 
PermitRootLogin no (запрещаем пользователю root логиниться по ssh) 
Так же находим строчку 
#Port 22 
Раскомментируем её и поменяем порт на любой другой (главное, чтобы новый порт не был занят 
каким-либо другим приложением) 
У меня это стало так: 
Port 1265 
Далее сохраняем файл и выполняем команду для перезагрузки службы ssh: 
service sshd restart 
d) Разрешаем доступ по ssh через новый порт в фаерволле 
Мы поменяли порт доступа к самой службе ssh, но еще не разрешили фаерволлу пропускать нас на этот 
порт. Для этого: 
nano /etc/sysconfig/iptables 

© YouTube канал DarkMaycal Sysadmins, 2014 
73 
находим там строчку: 
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
и меняем в ней порт 22 на тот, что мы установили в файле sshd_config, в моем случае на 1265. Строка 
станет выглядеть так: 
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 1265 -j ACCEPT 
Сохраняем файл и перезагружаем службу фаерволла: 
service iptables restart 
d. Устанавливаем sudo права на пользователя username 
usermod -aG 'wheel' username (добавляем пользователя username в группу пользователей wheel) 
далее 
nano /etc/sudoers 
находим там строку: 
## Allows people in group wheel to run all commands 
#%wheel ALL=(ALL) ALL 
и убираем комментарий перед %wheel. В результате выглядеть будет так: 
## Allows people in group wheel to run all commands 
%wheel ALL=(ALL) ALL 
Этим самым действием мы разрешили пользователям из группы wheel (а там только один пользователь 
username, вы его внесли туда недавно командой usermod -aG 'wheel' username) получать права 
суперпользователя 

© Никоноров М.Ю, 2014 
74 
Сохраняем файл 
Все. Теперь закрываем все подключения ssh. Для того, чтобы снова подключиться через putty к ssh, нам 
нужно указать новый порт, который мы установили. В моем случае это 1265 
Теперь работает так: 
a) Мы подключились к нашему CentOS Linux, на котором стоит Asterisk через Putty по протоколу ssh, НО, 
если мы попытаемся залогиниться в обычном режиме, а именно укажем логин root и наш пароль от 
root пользователя, то получим ошибку доступа. А все потому, что мы строкой PermitRootLogin no 
запретили пользователю root подключаться по ssh. Так залогиниться теперь можно только если 
подключиться напрямую через консоль (ну к самому серверу подойти или открыть окно гипервизора) 
b) Но мы создали нового пользователя username и теперь, для того, чтобы получить доступ по ssh когда 
он запрашивает логин вводим: username и пароль, который мы задали при добавлении нового юзера 
c) По умолчанию, если мы залогинившись от пользователя username попытаемся отредактировать 
какой-то файл, или запустить какую-нибудь службу, то мы получим от ворот поворот - Acces Denied 
d) Для того, чтобы от username можно было бы совершать какие-либо действия, вводим команду: 
sudo -i 
и пароль от пользователя username 
Если все в порядке, то мы станем рутами (получим права суперпользователя) и сможем делать все, что 
мы захотим. 
Итак, что же мы сделали в этом разделе (резюме): 
a. Поменяли порт SSH 
b. Добавили нового пользователя 
c. Запретили root пользователю подключаться через ssh 
d. Новому пользователю дали права суперпользователя 
Что нам это даст? 

© YouTube канал DarkMaycal Sysadmins, 2014 
75 
a. Мы поменяли порт ssh. Теперь, если злоумышленник будет сканировать и искать открытые 22 порты, 
то нас он не найдет, поскольку мы поменяли порт 
b. Если злоумышленнику все-таки удастся найти наш порт, обойти наш фаерволл iptables (он у нас 
пускает по ssh только изнутри локальной сети) то перед ним встанет вторая задача: необходимо 
подобрать пароль к root. Он начнет перебор паролей, но никогда не подберет, поскольку пользователю 
root просто на просто запрещен доступ по ssh 
Очень мала вероятность того, что он догадается что есть такой пользователь username, а если даже и 
догадается, то пароль ему к нему подбирать очень и очень долго, ведь он состоит из 6 символов, 
притом в нем присутствуют служебные символы 
P.S только не делайте имя пользователя реально username) Это слишком просто, придумайте свой. У 
меня например Maycal :) 
Осталось поменять пароль на root командой: 
passwd root 
после ввода команды введем новый, сложный пароль символов 10-15 

Download 1.04 Mb.

Do'stlaringiz bilan baham: