SSH sigurnost — ključevi, chroot jail, fail2ban i 2FA

SSH sigurnost — ključevi, chroot jail, fail2ban i 2FA

SSH je glavni ulaz na server. Sve sigurnosne slabosti — slabe lozinke, generični usernameovi, otvoreni port 22, neograničen pristup — gravitiraju baš tu. Ova uputa pokazuje minimum standard za produkciju: SSH ključevi, disabled password auth, rate limiting i chroot jail za untrusted korisnike.

1. SSH ključevi umjesto lozinki

Generiranje para ključeva (klijent)

ssh-keygen -t ed25519 -C "ime@uredaj" -f ~/.ssh/id_ed25519

Ed25519 je brži i sigurniji od RSA-2048. Ako trebate kompatibilnost sa starim sustavima, RSA-4096:

ssh-keygen -t rsa -b 4096

Postavljanje javnog ključa na server

ssh-copy-id user@server
# ili ručno:
cat ~/.ssh/id_ed25519.pub | ssh user@server 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys'

Test

ssh user@server  # trebalo bi raditi bez lozinke

2. Zaključavanje SSH daemona

Uredi /etc/ssh/sshd_config:

# izmjena porta — opcionalno, smanjuje šum botova, ne daje pravu sigurnost
Port 2222

# samo ključevi
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
KbdInteractiveAuthentication no
PermitRootLogin no
PermitEmptyPasswords no

# ograniči koji korisnici smiju preko SSH
AllowUsers deploy admin sftp-client1

# bez X11 forwardinga ako ga ne trebate
X11Forwarding no

# idle timeout
ClientAliveInterval 300
ClientAliveCountMax 2

# algoritmi (sigurniji subset)
KexAlgorithms curve25519-sha256,diffie-hellman-group16-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com

Provjerite konfiguraciju i restart:

sshd -t  # test sintakse
systemctl restart sshd

Ne prekidajte otvorenu SSH sesiju prije testa. Otvorite drugi terminal i provjerite da možete ući — ako ne, popravite s prve sesije.

3. Firewall — ograniči tko se može spojiti

Na ufw:

ufw allow from 85.10.0.0/16 to any port 22
ufw allow from 195.29.0.0/16 to any port 22
ufw deny 22
ufw enable

Za VPN-first pristup (preporuka za ozbiljne servere), SSH otvoren samo iznutra (WireGuard / OpenVPN).

4. Fail2ban — automatsko blokiranje brute force-a

apt install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Uredite /etc/fail2ban/jail.local:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = %(sshd_log)s
maxretry = 4
findtime = 10m
bantime  = 24h
ignoreip = 127.0.0.1/8 85.10.0.0/16  # vaš VPN range

systemctl restart fail2ban
fail2ban-client status sshd

5. Chroot jail za SFTP-only korisnike

Kad klijentu treba samo SFTP upload (ne shell pristup), dajte mu chroot jail — ne može izaći iz svog foldera.

# kreiraj grupu i korisnika
groupadd sftponly
useradd -m -g sftponly -s /sbin/nologin sftp-klijent1
passwd sftp-klijent1  # ili authorized_keys

# ispravna vlasništva za chroot
chown root:root /home/sftp-klijent1
chmod 755 /home/sftp-klijent1
mkdir -p /home/sftp-klijent1/upload
chown sftp-klijent1:sftponly /home/sftp-klijent1/upload

Dodajte u /etc/ssh/sshd_config:

Match Group sftponly
    ChrootDirectory /home/%u
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
    PasswordAuthentication no

Restart sshd i testirajte s vanjskog klijenta.

6. Dodatna zaštita: 2FA na SSH

Za adminski pristup, uparite SSH ključ s drugim faktorom (TOTP).

apt install libpam-google-authenticator
google-authenticator  # interaktivno, za vašeg user-a

U /etc/pam.d/sshd:

auth required pam_google_authenticator.so nullok

U /etc/ssh/sshd_config:

AuthenticationMethods publickey,keyboard-interactive
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes

Sada SSH traži ključ + TOTP kod.

7. Audit — što se događa

# tko je u zadnje vrijeme bio logiran
last -a | head -20

# neuspjeli pokušaji
journalctl -u sshd | grep "Failed password" | tail

# trenutno spojeni
who

# historija komandi pojedinog usera
sudo cat /home/deploy/.bash_history | tail -50

8. Ključevi — rotacija i upravljanje

  • Ne dijelite privatni ključ između ljudi — svaki admin svoj.
  • Nemojte čuvati privatne ključeve bez passphrase-a (koristite ssh-agent).
  • Rotirajte ključeve godišnje. Stari maknite iz authorized_keys.
  • Kad netko napusti tim, odmah maknite njihov ključ sa svih servera — ne mijenja se lozinka, nego briše ključ.

9. Kontrolna lista

  1. PasswordAuthentication = no.
  2. PermitRootLogin = no.
  3. AllowUsers ograničava tko može ući.
  4. fail2ban aktivan, log provjeren.
  5. firewall dopušta SSH samo s poznatih IP-ova / VPN-a.
  6. SFTP-only korisnici u chroot jailu.
  7. 2FA za adminski SSH.
  8. Ključevi popisani, vlasnici poznati, rotacija planirana.

Na WMD managed serverima ovaj setup je default — hardening radimo pri svakom podizanju okoline. Ako trebate audit postojećeg servera ili migraciju s password-based pristupa na ključeve, javite se.

  PHP OPcache konfiguracija — preloading, JIT i monitoring u produkciji
Cloudflare ispred weba — kompletno postavljanje i tipične zamke  
  Instructions

Das könnte Sie interessieren

Unsere Benutzer über uns

Adriano Bratovic

Wir kooperieren seit Jahren mit WMD. Wir können sie uneingeschränkt empfehlen. Sie haben unsere Erwartungen weit übertroffen und unzählige Male zusätzliche Leistungen erbracht (die nicht im Angebot enthalten waren). Ich bin dankbar für diese Unterstützung und diesen Anbieter.

Joško Matušan

Apsolutno sam oduševljen WMD-om! Korisnička podrška je fenomenalna -brza i profesionalna te rješavaju probleme dok ste još na vezi. Usluga je stabilna, brza i pouzdana. Od kada sam kod njih, a to je desetak godina, nemam apsolutno nikakvih briga oko svog weba, tako da sam kod njih smjestio već 4…

ivan K

Svaka čast svima u WMD podršci, koristimo dosta usluga od WMDa i svaki puta i u bilo koje doba dana ste na usluzi. Sigurno budemo i dalje koristili vaše usluge

Goran Stevic

Ich muss zugeben, ich habe mit verschiedenen Unternehmen zusammengearbeitet, aber ein großes Lob an Sie, Sie sind der Beste!!! Schnelle Antworten, schnelle Problemlösung, wirklich professionell, ein dickes Lob an Sie Grüße aus Schweden

Ivana Ivanusec

WMD ist unser langjähriger und zuverlässiger Partner in den Bereichen Hosting und Webdesign! 🚀 Ihr erstklassiger technischer Support, ihre Schnelligkeit und ihre Professionalität ermöglichen es uns, unseren Benutzern einwandfrei funktionierende Websites bereitzustellen. Sie sind jederzeit…

Tomislav Vrkljan

WMD bietet qualitativ hochwertige Webhosting-Dienste mit hervorragendem Kundensupport. Ich nutze ihre Dienste seit 2006 und in all diesen Jahren bin ich auf diesem Gebiet keinem zuverlässigeren Partner begegnet. Ihr Expertenteam löst schnell und effizient jede technische Herausforderung, während…

Portal dugoselo.info

„Die Geschwindigkeit, das Wissen und die Verfügbarkeit des WMD-Kundendienstes geben mir volles Vertrauen in das Projekt und sorgen für Benutzerfreundlichkeit und Sicherheit bei der Nutzung des Dienstes und der Tools. Sie haben alle meine Fragen schnell, sehr kommunikativ und professionell gelöst.“

Übersetzungsbüro GNOSIS

Nach Erfahrungen mit verschiedenen Anbietern haben wir mit WMD endlich einen zuverlässigen Hosting-Partner gefunden. Die Servicequalität ist auf hohem Niveau und wir erhalten auf jede Frage schnell eine Antwort und eine passende Lösung. Ich kann WMD jedem empfehlen, der qualitativ hochwertiges und…

Probleme für den 1. Mai

Da wir die Inhalte der Website selbst erstellen wollten, haben wir uns für WMD entschieden. Und wie das bei Anfängern so ist, stießen wir auf ein unlösbares Problem. Wir schickten eine Bitte um Hilfe an WMD, oder besser gesagt HILFE!!!!!. Das war am 1. Mai dieses Jahres, weit nach Mitternacht. Und……

SEO.hr

Wenn Sie sich für das Hosting aufgrund des Preises entscheiden, landen Sie höchstwahrscheinlich ganz hinten in der Warteschlange, wenn etwas mit dem Server passiert. Mein Rat ist, beim Hosting nicht zu sparen und sich ein Hosting zu suchen, bei dem immer jemand da ist, der Ihnen hilft und…

Gamabon doo

In der Wirtschaftskrise, die unseren Markt seit langem heimsucht, erscheint jeder Aufwand, egal ob für eine Ware oder eine Dienstleistung, übertrieben oder teuer, unabhängig vom konkreten Geldwert. Und wenn die Ware oder Dienstleistung von schlechter Qualität ist, dann ist der Aufwand besonders…

1Click - IT-Lösungen

Wir sind vor einiger Zeit auf Empfehlung eines Kollegen zu Ihrem Hosting gewechselt. Obwohl wir bereits mehrere Domains mit Diensten bei anderen Hosting-Unternehmen eröffnet hatten, müssen wir betonen, dass wir mit dem Wechsel äußerst zufrieden sind. Wir möchten an dieser Stelle Ihren…

Virna, Handel für IT-Dienstleistungen

An dieser Stelle möchte ich Ihren Kundendienst und Ihren Service im Allgemeinen loben. Ihre Administratoren sind fair, freundlich und haben eine enorme Geduld für alle Fragen und sind jederzeit bereit, zu helfen. Ich mache diesen Job seit 20 Jahren und kann freimütig sagen, dass ich bei den wenigen…

Facharztpraxis für Allgemeinmedizin mit Diagnostik

Wenn Sie eine schöne und funktionale Website haben möchten, die Ihr Unternehmen widerspiegelt, empfehle ich WMD auf jeden Fall. Ich arbeite seit 7 Jahren mit diesem Unternehmen zusammen und bin äußerst zufrieden mit seinen Hosting-Diensten, seinem Webdesign und insbesondere der Geschwindigkeit und…

Helcos doo

Sehr geehrte Herren! Ich gratuliere Ihnen zu Ihrer Idee und Umsetzung der JUMBO-Poster . Sie sind einzigartig und nützlich. Ich schlage vor, Sie machen sie größer, denn ich glaube, sie sind in der Öffentlichkeit nicht ausreichend bekannt und anerkannt. Auf meine Bitte, den Hintergrund und den Text…

SEHEN SIE ALLE KOMMENTARE UNSERER BENUTZER
CMS Erstellen Sie selbst eine Website
400+ Webskripte per Klick
CMS, Shop, Blog... Automatische Installation mit 1 Klick

Probezeit
7 Tage

Domain aktiv
in 5 Minuten

SSH sigurnost — ključevi, chroot jail, fail2ban i 2FA