Proxmox гипервизоры — бұл виртуализацияның тиімді платформасы, ол KVM және LXC технологияларын пайдалана отырып, виртуалды машиналар мен контейнерлерді басқаруға мүмкіндік береді.
Серверге қашықтан қолжетімділіктің негізгі әдісі — SSH, сондықтан бұл қызметті қорғау өте маңызды. SSH арқылы серверге қосылу көбінесе әкімшілердің негізгі әдісі болып табылады. Ашық порттар мен осалдықтар шабуылдаушылар үшін мақсат болуы мүмкін.
Осы мақалада біз Proxmox гипервизорында SSH-серверін қорғаудың негізгі тәсілдерін қарастырамыз.
1. SSH негізгі конфигурациясы
SSH стандартты портын өзгерту
Әдепкіде SSH сервері 22 портында жұмыс істейді, бұл оны brute-force шабуылдарына осал етеді. Қауіпсіздікті арттыру үшін стандартты портты өзгертуді ұсынамыз.
Ол үшін SSH конфигурация файлын ашыңыз:
sudo nano /etc/ssh/sshd_config
Порт жолын табыңыз:
#Port 22
Мысалы, 2222 портын орнатыңыз:
Port 2222
Өзгерістерді сақтап, SSH қызметін қайта жүктеңіз:
sudo systemctl restart sshd
Жаңа порт үшін брандмауэр ережелерін жаңартуды ұмытпаңыз.
Парольмен кіруді өшіру
Қауіпсіздіктің ең тиімді тәсілдерінің бірі — SSH арқылы тек қана кілттермен кіруге рұқсат беру және пароль арқылы кіруді өшіру. Бұл парольді таңдау кезінде орын алатын шабуылдарды болдырмауға көмектеседі.
Конфигурация файлы /etc/ssh/sshd_config ішінде келесі жолдарды өзгертіңіз немесе қосыңыз:
PasswordAuthentication no
ChallengeResponseAuthentication no
Осыдан кейін SSH қызметін қайта іске қосыңыз:
sudo systemctl restart sshd
2. SSH кілттерін пайдалану
SSH кілттері паролдерге қарағанда жоғары деңгейде қауіпсіздік қамтамасыз етеді және әлсіз немесе болжауға болатын парольдер пайдалануды болдырмайды.
-
Клиентте кілттерді жасау Клиенттік машинада кілттер жұбын жасаңыз:
ssh-keygen -t rsa -b 4096 -
Қоғамдық кілтті серверге қосу Кілттер жасалғаннан кейін, қоғамдық кілтті сервердегі
~/.ssh/authorized_keysфайлына қосу керек.Серверде келесі команданы орындаңыз:
ssh-copy-id -i ~/.ssh/id_rsa.pub username@your_server_ip -p 2222 -
Парольдарды өшіру Жоғарыда айтылғандай, SSH арқылы парольмен кіруді өшіру керек. Бұл үшін де SSH конфигурациясында келесі өзгерістер енгізіледі:
PasswordAuthentication no
3. IP-адрестер бойынша қолжетімділікті шектеу
SSH-ға тек сенімді IP-адрестерден кіруге рұқсат беру арқылы әлеуетті қауіптерді азайтуға болады.
Ол үшін брандмауэрді (мысалы, ufw немесе iptables) қолдануға болады. Мысалы, егер SSH-ға тек 192.168.1.100 IP-адресінен кіруге рұқсат бергіңіз келсе, ufw үшін келесі команда қолданылады:
sudo ufw allow from 192.168.1.100 to any port 2222
iptables үшін:
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 2222 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2222 -j DROP
4. Екі факторлы аутентификация (2FA) пайдалану
Екі факторлы аутентификация қосымша қауіпсіздік деңгейін ұсынады, ол SSH кілтінен басқа, мобильді құрылғыдан немесе арнайы бағдарлама арқылы алынған бір реттік парольді енгізуді талап етеді.
Оны іске асыру үшін Google Authenticator құралын пайдалану ұсынылады. Серверде оны орнату үшін:
sudo apt install libpam-google-authenticator
Орнатудан кейін келесі команданы орындап, конфигурацияны орнатыңыз:
google-authenticator
Келесі қадамдарды орындап, QR-кодты мобильді құрылғыңызбен сканерлеу арқылы құпия кілтті алыңыз.
Содан соң /etc/pam.d/sshd файлын өзгертіп, келесі жолды қосыңыз:
auth required pam_google_authenticator.so
Қосымша конфигурация ретінде /etc/ssh/sshd_config файлына келесі жолды қосыңыз:
ChallengeResponseAuthentication yes
SSH қызметін қайта іске қосыңыз:
sudo systemctl restart sshd
5. Brute-force шабуылдарынан қорғау
Fail2Ban орнату
Fail2Ban — бұл серверге кірген кезде көптеген сәтсіз әрекеттерді бақылап, IP-адрестерді бұғаттайтын құрал. Ол парольдерді бұзу шабуылдарына қарсы тиімді қорғаныс ұсынады.
Fail2Ban орнату үшін:
sudo apt install fail2ban
Орнатудан кейін, /etc/fail2ban/jail.local файлына SSH үшін келесі параметрлерді қосыңыз:
[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 600
Өзгерістерді сақтап, Fail2Ban қызметін қайта іске қосыңыз:
sudo systemctl restart fail2ban
6. Қосымша кеңестер
- Жүйені жаңарту: Жүйені және пакеттерді тұрақты түрде жаңартып отырыңыз, бұл белгілі осалдықтарды жоюға көмектеседі.
- Мониторинг: SSH сессияларының белсенділігін бақылау үшін
auditdнемесеsyslogсияқты құралдарды пайдаланыңыз. - Виртуалды машиналар мен контейнерлер: Қосымша оқшаулау үшін LXC контейнерлерін немесе виртуалды машиналарды пайдаланыңыз, бұл қосымшаларды бөлуге және қауіп-қатерлерді азайтуға мүмкіндік береді.
Қорытынды
SSH — қашықтан қолжетімділіктің қуатты құралы, бірақ ол жиі шабуылдардың нысанына айналады. Сондықтан, оның қауіпсіздігін қамтамасыз ету үшін барлық қажетті шараларды қабылдау өте маңызды. Портты өзгерту, SSH кілттерін пайдалану, екі факторлы аутентификация, қолжетімділікті шектеу және Fail2Ban орнату Proxmox гипервизорындағы SSH серверінің қауіпсіздігін айтарлықтай арттырады және рұқсат етілмеген қолжетімділікті азайтады.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- oVirt гипервизорын қорғау — терең талдау
- oVirt жүйесінен Proxmox жүйесіне виртуалды машинаны көшіру
- Proxmox-тан oVirt-ке виртуалды машинаны көшіру
- Kubernetes контейнерлерін қорғау — терең талдау
- Proxmox гипервизорын бұзудан қалай қорғауға болады - Терең талдау
- Fail2Ban-ды oVirt жүйесін қорғауда қолдану - Терең талдау
- oVirt гипервизорын сақтандыруды ұйымдастыру — Терең талдау
- Виртуалды машинаны гипервизорлар арасында Proxmox арқылы көшіру
- Proxmox гипервизорын виртуалды машиналардың оңтайлы жұмысын қамтамасыз ету үшін конфигурациялау
- Proxmox-те SSH арқылы root құқықтарының бұзылуынан қорғау: терең талдау
