Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Porada 6: aktywacja mocniejszego algorytmu zabezpieczającego hasło

W Linuksie do tworzenia zaszyfrowania haseł użytkowników domyślnie stosuje się algorytm MD5 przyprawiony ponadto solą (ang. salt), czyli przypadkowym ciągiem znaków dodawanym do podanej przez nas frazy.

To dobre zabezpieczenie, ale istnieją lepsze - zamiast MD5 możesz skorzystać z Blowfisha, którego łamanie metodą siłową trwać będzie przynajmniej kilka razy dłużej. Z Blowfisha w domyślnej konfiguracji korzysta choćby OpenBSD.

Zobacz również:

  • Najlepszy VPN dla Linuxa [RANKING 2022]
  • Edytor tekstowy Nano w systemie Linux. Jak się nim posługiwać?
  • Nie instaluj nowej aktualizacji dla Galaxy S22! Wrześniowa łatka psuje ważną funkcję

Uruchom Aplikacje | Akcesoria | Terminal i wpisz w nim:

sudo apt-get install libpam-unix2.

Otwórz teraz w edytorze tekstowym pliki common-auth i common-password. Najwygodniej będzie ci skorzystać z poleceń:

sudo gedit /etc/pam.d/common-auth

sudo gedit /etc/pam.d/common-password

W obu plikach zamień słowo "pam_unix.so" na "pam_unix2.so". W common-password ponadto zamiast "md5" wpisz "blowfish".

Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Skrót hasła zabezpieczonego Blowfishem zamiast MD5

Od tego momentu skrót hasła każdego nowego użytkownika będzie generowany za pomocą algorytmu Blowfish, który jest mniej podatny na złamanie niż MD5; człowiek, który posiada już konto w systemie, musi skorzystać z polecenia passwd - czyli po prostu musi zmienić hasło - aby jego hasło zostało zabezpieczone za pomocą Blowfisha.

UWAGA: w niektórych edycjach Ubuntu porada może powodować problemy, jeśli wykorzystujesz wygaszacz ekranu zabezpieczony hasłem.

Porada 7: wzmocniona brama, czyli zabezpieczanie demona SSH

Jeśli masz w domu więcej niż jeden komputer, niekiedy pojawia się potrzeba wejścia na sprzęt z Ubuntu z poziomu maszyny z Windows. Posłuży ci do tego aplikacja PuTTy (odpowiednik klienta SSH) lub WinSCP (menedżer plików wykorzystujący protokół SSH). Polecamy zwłaszcza tę drugą, gdyż pozwala na wyjątkową wygodę i szybkie przerzucanie dokumentów między systemami.

Jednak aby z skorzystać z PuTTy, na komputerze z Linuksem powinieneś najpierw zainstalować demona SSH. Operacja jest bardzo prosta, wystarczy wpisać w terminalu:

sudo apt-get install ssh

Jako że SSHd to nasłuchująca w sieci usługa - czyli potencjalna brama dla włamywacza - nie możesz jej tak po prostu zostawić. Wpisz w terminalu:

sudo gedit /etc/ssh/sshd_config

Oto opcje, których modyfikację powinieneś przynajmniej rozważyć:

- Port 22 - skanery zabezpieczeń sprawdzają ten port i nasłuchującą na nim wersję SSHd. Gdybyś zdecydował się na zmianę numeru portu, wybierz taki, który nie jest testowany przez NMap. Naszym zdaniem jednak tej wartości modyfikować nie warto.

- # ListenAddress :::: lub # ListenAddress 0.0.0.0 - adres (interfejs), na którym demon SSH będzie aktywny. Jeśli komputer z Linuksem jest stale włączony i stanowi bramę pomiędzy tobą oraz Internetem (czyli ma więcej niż jeden interfejs sieciowy), SSHd powinien nasłuchiwać jedynie na adresie wewnętrznym.

- PermitRootLogin yes - opcja, którą należy czym prędzej zmienić na no! W konfiguracji domyślnej logowanie roota przez sieć jest dozwolone, co może znacząco ułatwić intruzom próbę wtargnięcia do systemu metodą siłową.

- X11Forwarding yes - wpis, dzięki któremu możliwe jest zdalne uruchamianie aplikacji graficznych, w tym komunikatora, przeglądarki itp. W tym momencie nie musisz jej modyfikować, sprawdź najpierw, jak pracuje się z użyciem przeglądarki załadowanej na serwerze, która u ciebie wyświetla jedynie okno.

Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Łączymy się z serwerem SSH. Warto zwrócić uwagę, że komputer zgłasza jedynie obsługę 2. wersji protokołu. Gdyby 1. wersja była aktywna, zamiast "2.0" zobaczylibyśmy "1.99"

Jeżeli śledzisz fora dyskusyjne poświęcone Linuksowi, dostrzeżesz być może zalecenie zmiany parametru ServerKeyBits 768. Nie przejmuj się nim. ServerKeyBits dotyczy wyłącznie pierwszej wersji protokołu, dlatego w twoim wypadku modyfikacja opcji niczego nie zmieni - w Ubuntu SSH wykorzystuje domyślnie tylko protokół 2.