Raspberry Pi - SSH härdning (4 / 5 steg)

Steg 4: Inaktivera Root-inloggning

Avaktivera Root-inloggning Via SSH.

sudo nano /etc/ssh/sshd_config

Nu bara kopiera koden nedan och ersätta vad är i sshd_config filen med den.

# Genereras paketkonfigurationen fil # se sshd_config5() manpage för Detaljer
# Vad portar, IPs och protokoll lyssna vi för
Port 22
# Använd dessa alternativ för att begränsa vilka gränssnitt/protokoll sshd binder till
#ListenAddress::
#ListenAddress 0.0.0.0
Protokoll 2
# HostKeys för protokollversion 2
Värd /etc/ssh/ssh_host_ed25519_key
Värd /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege separation är aktiverad för säkerhet
UsePrivilegeSeparation ja # livstid och storleken på efemära version 1 servernyckel
KeyRegenerationInterval 3600
ServerKeyBits 1024 # loggning
SyslogFacility AUTH
LogLevel INFO # autentisering:
LoginGraceTime 120
PermitRootLogin inte
StrictModes Ja
RSAAuthentication Ja
PubkeyAuthentication Ja
#AuthorizedKeysFile %h/.ssh/authorized_keys # läser inte ~/.rhosts och ~/.shosts filer
IgnoreRhosts Ja
# För att detta ska fungera måste också värd nycklar i /etc/ssh_known_hosts
RhostsRSAAuthentication ingen
# liknande för protokollversion 2
HostbasedAuthentication ingen
# Avkommentera om du inte litar på ~/.ssh/known_hosts för RhostsRSAAuthentication
#IgnoreUserKnownHosts ja # aktivera tomma lösenord, ändra för att ja (rekommenderas inte)
PermitEmptyPasswords no # ändra till Ja om du vill aktivera anrop och svar lösenord (se upp frågor med
# några PAM moduler och trådar)
ChallengeResponseAuthentication no # ändra till Nej om du vill inaktivera tunnlas klartext lösenord
#PasswordAuthentication ja # Kerberos alternativ
#KerberosAuthentication ingen
#KerberosGetAFSToken ingen
#KerberosOrLocalPasswd Ja
#KerberosTicketCleanup ja # GSSAPI alternativ
#GSSAPIAuthentication ingen
#GSSAPICleanupCredentials Ja
X11Forwarding Ja
X11DisplayOffset 10
PrintMotd ingen
PrintLastLog Ja
TCPKeepAlive Ja
#UseLogin ingen #MaxStartups 10: 30:60
#Banner /etc/issue.net # Tillåt klienter att passera locale miljövariabler
AcceptEnv LANG LC_ * delsystemet sftp /usr/lib/openssh/sftp-server

# Ställ in den till "ja" till möjliggöra PAM authentication, konto bearbetning,
# och session bearbetning. Om detta är aktiverat, kommer PAM authentication
# tillåtas genom ChallengeResponseAuthentication och
# PasswordAuthentication. Beroende på konfigurationen av PAM,
# PAM authentication via ChallengeResponseAuthentication kan kringgå
# inställningen för "PermitRootLogin utan-lösenord".
# Om du bara vill PAM konto och session kontrollerna att köra utan
# PAM authentication, sedan aktiverar detta men sätta PasswordAuthentication
# och ChallengeResponseAuthentication till "nej".
#UsePAM Ja