Programmet Sudo används för att säkra upp din SSH-klient och till exempel motverka intrång. Nedan beskriver vi hur du hanterar användare av SSH-klienten.
Skapa en ny användare
I följande exempel har vi valt att använda användarnamnet loopia-support, men du kan självklart välja något annat. Skriv in följande kommando:
adduser loopia-support
Välj gärna ett personligt användarnamn som inte är kopplat till företaget, och undvik ”vanliga” användarnamn som till exempel admin, då intrångsförsök med även dessa är vanliga. När du kör kommandot får du välja ett lösenord och fylla i ett par andra uppgifter. Av dessa är det endast lösenordet som är viktigt, resten kan du lämna blankt om du önskar. Tänk på att användarnamnet, precis som allt annat i de flesta Unix-miljöer, är skiftlägeskänsligt; ”Loopia-Support” är inte detsamma som ”loopia-support”.
Ge användaren tillfälliga administrativa rättigheter
Den användare du just skapat har inga rättigheter till att köra vilka kommandon som helst. Att ge en användare möjlighet att köra vilket kommando som helst, när som helst, är en enorm säkerhetsrisk. Därför kommer vi att använda oss av sudo. sudo används för att ge användaren tillfälliga administrativa rättigheter.
För att köra ett kommando med administrativa rättigheter så skriver du helt enkelt sudo före kommandot du önskar köra, till exempel sudo apt-get update
Vi ger en användare sudo-rättigheter med följande kommando:
adduser loopia-support sudo
Detta kommando lägger till användaren loopia-support i gruppen sudo. Alla användare i gruppen sudo har full åtkomst till att använda kommandot.
En alternativ metod att ge användaren sudo-rättigheter är genom kommandot visudo. Ifall du kör visudo så kommer en textfil att öppnas som innehåller bland annat en rad som ser ut såhär:
root ALL=(ALL:ALL) ALL
Kopiera hela den raden och klistra in precis under, men byt ut root mot ditt användarnamn:
root ALL=(ALL:ALL) ALL loopia-support ALL=(ALL:ALL) ALL
När du sparar denna fil så kommer användaren kunna använda sudo. För att testa kan du byta till din nya användare med kommandot su loopia-support. Du byter såklart ut loopia-support mot det användarnamn du har valt. Eftersom du är inloggad som root när du kör detta kommando så behöver du inte ange ett lösenord, utan loggas in direkt som den nya användaren.
Autentisera användaren för att köra sudo
När du ska köra sudo så måste du autentisera dig genom att skriva in användarens lösenord. När du väl har gjort det så kommer du att förbli autentiserad i fem minuter. Under denna period behöver du fortfarande använda sudo, men du behöver inte skriva in lösenordet för varje kommando. Det kallas ofta att ”köra ett kommando som root”, trots att det är inte användarnamnet root som används, när administrativa rättigheter krävs. För enkelhetens skull kommer vi att använda det uttrycket i fortsättningen då och då i dessa instruktioner.
Ifall allt verkar fungerar som det ska, stäng ned anslutningen till din VPS och anslut på nytt med ditt nya användarnamn istället.
Stäng av möjligheten att logga in som root
Vi nämnde tidigare att över 98% av alla intrångsförsök via SSH sker med användarnamnet root, så en väldigt enkel metod för att skydda sig mot dessa intrång är att stänga av möjligheten att logga in som root.
Detta gör vi genom att redigera filen /etc/ssh/sshd_config. Om du följt våra instruktioner till punkt och pricka har du troligtvis ingen enkel editor installerad, och då rekommenderar vi att du installerar programmet nano som är en väldigt enkel editor. Vi redigerar därefter filen med följande kommando:
sudo nano /etc/ssh/sshd_config
Leta upp denna rad:
PermitRootLogin yes
Här byter du helt enkelt ut ”yes” mot ”no”.
Som standard används SSH på port 22. För att höja säkerheten ännu mer så kan du byta ut den till något annat genom att ändra raden ”Port 22” till valfri port mellan 1-65535. Du bör dock välja en ganska hög siffra för att minska risken att kollidera med en annan port som du kan ha användning av senare.
Spara sedan filen och stäng. I nano gör du detta genom att trycka Ctrl+X. Ifall du har ändrat någonting kommer programmet fråga ifall du vill spara. Svara ja genom att trycka ”y” och enter. För att våra nya inställningar ska börja gälla behöver du starta om SSH-servern:
service ssh restart
När någon nu försöker logga in som root via SSH så kommer de få ett felmeddelande som säger att inloggningen misslyckades, som om de hade angett ett felaktigt lösenord. Ifall du har bytt SSH-port så behöver du manuellt ange detta i framtiden när du ansluter till din server.
Tips! Om du råkar låsa dig själv ute så kan du fortfarande logga in som root via Skärmkonsolen som du hittar i din Loopia Kundzon eftersom den inte ansluter via SSH.