Programmet Sudo används för att säkra upp din SSH-klient och till exempel motverka intrång på din VPS. Nedan går vi igenom hur du hanterar användare av SSH-klienten: skapar en ny användare, ger den administrativa rättigheter (sudo) och stänger av möjligheten att logga in som root.
Skapa en ny användare
I följande exempel använder vi användarnamnet loopia-support, men du kan självklart välja något annat. Skriv in följande kommando:
adduser loopia-support
Välj gärna ett personligt användarnamn som inte är kopplat till företaget, och undvik ”vanliga” användarnamn som till exempel admin, eftersom intrångsförsök med sådana är vanliga. När du kör kommandot får du välja ett lösenord och fylla i ett par andra uppgifter. Av dessa är det bara lösenordet som är viktigt – resten kan du lämna blankt om du vill. Tänk på att användarnamnet, precis som det mesta i Unix-miljöer, är skiftlägeskänsligt: ”Loopia-Support” är inte detsamma som ”loopia-support”.
Ge användaren tillfälliga administrativa rättigheter
Användaren du nyss skapade har inte rättigheter att köra vilka kommandon som helst. Att ge en användare möjlighet att köra vilket kommando som helst, när som helst, är en stor säkerhetsrisk. Därför använder vi sudo, som ger användaren tillfälliga administrativa rättigheter.
För att köra ett kommando med administrativa rättigheter skriver du helt enkelt sudo före kommandot du vill köra, till exempel sudo apt-get update.
Vi ger en användare sudo-rättigheter med följande kommando:
adduser loopia-support sudo
Kommandot lägger till användaren loopia-support i gruppen sudo. Alla användare i gruppen sudo har full åtkomst till att använda kommandot.
Alternativ metod med visudo
En alternativ metod att ge användaren sudo-rättigheter är genom kommandot visudo. När du kör visudo öppnas en textfil som bland annat innehåller en rad som ser ut så här:
root ALL=(ALL:ALL) ALL
Kopiera hela den raden och klistra in den precis under, men byt ut root mot ditt användarnamn:
root ALL=(ALL:ALL) ALL loopia-support ALL=(ALL:ALL) ALL
När du sparar filen kan användaren använda sudo. För att testa kan du byta till din nya användare med kommandot su loopia-support. Byt självklart ut loopia-support mot det användarnamn du har valt. Eftersom du är inloggad som root när du kör kommandot behöver du inte ange något lösenord, utan loggas in direkt som den nya användaren.
Autentisera användaren för att köra sudo
När du ska köra sudo måste du autentisera dig genom att skriva in användarens lösenord. När du har gjort det förblir du autentiserad i fem minuter. Under den perioden behöver du fortfarande använda sudo, men du behöver inte skriva in lösenordet för varje kommando. Det kallas ofta att ”köra ett kommando som root”, trots att det inte är användarnamnet root som används när administrativa rättigheter krävs. För enkelhetens skull använder vi det uttrycket då och då i dessa instruktioner.
Om allt verkar fungera som det ska kan du stänga ned anslutningen till din VPS och ansluta på nytt med ditt nya användarnamn i stället.
Stäng av möjligheten att logga in som root
Vi nämnde tidigare att över 98 % av alla intrångsförsök via SSH sker med användarnamnet root. En enkel metod för att skydda dig mot dessa intrång är därför att stänga av möjligheten att logga in som root.
Det gör du genom att redigera filen /etc/ssh/sshd_config. Om du har följt våra instruktioner till punkt och pricka har du troligtvis ingen enkel editor installerad. Då rekommenderar vi att du installerar programmet nano, som är en väldigt enkel editor. Därefter redigerar vi filen med följande kommando:
sudo nano /etc/ssh/sshd_config
Leta upp den här raden:
PermitRootLogin yes
Här byter du helt enkelt ut ”yes” mot ”no”.
Som standard används SSH på port 22. För att höja säkerheten ytterligare kan du byta till en annan port genom att ändra raden ”Port 22” till valfri port mellan 1 och 65535. Välj gärna en ganska hög siffra för att minska risken att krocka med en annan port som du kan behöva senare.
Spara sedan filen och stäng den. I nano gör du det genom att trycka Ctrl+X. Om du har ändrat något frågar programmet om du vill spara. Svara ja genom att trycka ”y” och Enter. För att de nya inställningarna ska börja gälla behöver du starta om SSH-servern:
service ssh restart
När någon nu försöker logga in som root via SSH får de ett felmeddelande som säger att inloggningen misslyckades, som om de hade angett ett felaktigt lösenord. Om du har bytt SSH-port behöver du ange den manuellt när du ansluter till din server i framtiden.
Tips! Om du råkar låsa ut dig själv kan du fortfarande logga in som root via Skärmkonsolen, som du hittar i din Loopia Kundzon, eftersom den inte ansluter via SSH.
