sshd_config

PermitRootLogin

Параметр PermitRootLogin у конфігураційному файлі SSH (/etc/ssh/sshd_config) визначає, чи дозволено вхід на сервер по SSH безпосередньо під користувачем root.

Формат:

PermitRootLogin yes|no|prohibit-password|without-password|forced-commands-only

Значення:

Значення

Опис

yes

Дозволяє прямий вхід по SSH під root (з паролем або ключем). Небезпечно.

no

Забороняє будь-який вхід під root через SSH.

prohibit-password

Забороняє вхід з використанням пароля, але дозволяє вхід з ключем SSH. (заміна without-password з OpenSSH 7.0+)

without-password

Те саме, що prohibit-password (застаріле, але ще підтримується).

forced-commands-only

Дозволяє root входити лише якщо ключ має примусову команду (command="..." у authorized_keys).

Приклад:

PermitRootLogin prohibit-password

Root зможе заходити лише за наявності SSH-ключа. Пароль не приймається.

Безпечна практика

Рекомендується: PermitRootLogin prohibit-password або повністю no.
Краще:
1. Відключити root-доступ по SSH (PermitRootLogin no)
2. Використовувати звичайного користувача з правами sudo
3. Обов'язково використовувати SSH-ключі замість пароля

Перевірка / застосування змін:

Після редагування sshd_config, перевір синтаксис:

sshd -t

І перезапусти службу:

systemctl restart ssh

PasswordAuthentication

Параметр PasswordAuthentication у конфігураційному файлі SSH (/etc/ssh/sshd_config) визначає, чи дозволено автентифікацію за паролем для SSH-клієнтів.

Формат:

PasswordAuthentication yes|no

Значення:

Значення

Опис

yes

Дозволяє автентифікацію за паролем. Користувачі можуть входити, вводячи свій пароль.

no

Забороняє автентифікацію за паролем. Тільки ключі SSH або інші методи (наприклад, GSSAPI, Kerberos).

Приклад:

PasswordAuthentication no

Це означає, що всі спроби входу з паролем будуть відхилені. Користувач повинен мати SSH-ключ.

Взаємодія з іншими параметрами:

PermitRootLogin: якщо дозволений доступ root, то PasswordAuthentication контролює, чи можна входити root'ом з паролем.
ChallengeResponseAuthentication: має бути теж no, якщо ти хочеш повністю вимкнути всі паролі.
UsePAM: якщо ввімкнено (yes), PAM може впливати на поведінку PasswordAuthentication.

Безпечна практика:

В безпечному серверному середовищі рекомендується:
```
PasswordAuthentication no
PermitRootLogin prohibit-password
```
Це означає:
- Вхід тільки за допомогою SSH-ключів
- Навіть root не зможе зайти по паролю
- Інші користувачі — лише з ключами

Після змін:

sshd -t         # перевірка синтаксису
systemctl restart ssh

Хочеш приклад повністю захищеного фрагмента sshd_config з ключовими параметрами?

PreviousЯк правильно поміняти порт SSH NextApache

Last updated 5 months ago

hashtagPermitRootLogin

hashtagФормат:

hashtagЗначення:

hashtagПриклад:

hashtagБезпечна практика

hashtagПеревірка / застосування змін:

hashtagPasswordAuthentication

hashtagФормат:

hashtagЗначення:

hashtagПриклад:

hashtagВзаємодія з іншими параметрами:

hashtagБезпечна практика:

hashtagПісля змін:

PermitRootLogin

Формат:

Значення:

Приклад:

Безпечна практика

Перевірка / застосування змін:

PasswordAuthentication

Формат:

Значення:

Приклад:

Взаємодія з іншими параметрами:

Безпечна практика:

Після змін: