Siekiant apsaugoti serverį nuo įsilaužimų bei bandymų atspėti slaptažodį galima imtis įvairių veiksmų, kaip pavyzdžiui, 2FA (dviguba autorizacija), Fail2Ban taisyklių arba SSH rakto naudojimo. Tačiau turbūt paprasčiausias būdas apsisaugoti - leisti prisijungimą prie serverio naudojant tik konkretų IP adresą, potinklį ar adresų ruožą.

Šis apribojimas nėra naudingas serverių administratoriams, kurie jungiasi prie serverio iš skirtingų lokacijų arba naudojasi mobiliu internetu. Tačiau jeigu prie serverio visada yra jungiamasi jungiantis per VPN, būnant darbo vietoje arba namuose naudojant tą patį IP adresą, tokiu atveju SSH prisijungimo pririšimas prie IP yra efektyvus būdas apsisaugant nuo nepageidaujamo susijungimo iš išorės.

Šioje pamokoje pateiksime instrukciją, kaip apriboti prisijungimą prie Linux bei Windows serverių.

Preliminarūs reikalavimai

Linux ar Windows dedikuotas serveris naudojantis mūsų parengtą operacinės sistemos arba serverio valdymo pulto šabloną.

Visų pirma prisijunkite prie serverio naudodamiesi terminalu. Apribojimui naudosime hosts failą, kuriame nurodysite IP adresą ar potinklį. Failo atidarymui naudojame nano teksto redagavimo programą. Įveskite šią komandą:

Šiame faile įveskite žemiau pateiktą eilutę:

sshd: norimas.ip.adresų.ruožas./32, konkretus.ip.adresas.prisijungimui

Vietoje žodinių reikšmių įveskite savo naudojamą IP adresą ar potinklį ir išsaugokite pakeitimus.

SVARBU: prieš išsaugodami kelis kartus patikrinkite ar nurodytas IP adresas ar ruožas yra teisingai įvestas. Kitaip nebegalėsite prisijungti prie serverio.

Tada atsidarykite /etc/hosts.deny failą:

Ir įveskite žemiau pateiktą eilutę, kuri nurodo, kad visi kiti bandymai prisijungti prie kitų IP adresų, nei nurodytų hosts.allow faile, bus atmesti:

sshd: ALL

Ir viskas - šių veiksmų pilnai užteks norint apsisaugoti nuo brute-force atakų ir prisijungimų iš kito IP prisijungimą žinantiems asmenims. Bandant prisijungti prie serverio bus pateikiamas pranešimas:

Prisijunkite prie Windows serverio. Toliau turite atlikti esamos Remote Desktop taisyklės redagavimą Windows ugniasienėje:

1. Paspauskite ant Start mygtuko apatiniame kairiajame kampe;

2. Dešiniau ties Windows Server skiltimi matysite kvadratą su užrašu Windows Administrative Tools;

3. Atsidariusiame lange žemiau matysite nuorodą į Windows Defender Firewall with Advanced Security;

4. Kairiame kampe matysite meniu su Inbound Rules pasirinkimu;

5. Jums bus pateikiamos visos taisyklės, kuriomis vadovaujasi Windows ugniasienė. Šiame sąraše suraskite Remote Desktop - User Mode (TCP-In) taisyklę:

6. Jums bus atidaromas nustatymų langas, kuriame pasirinkite Scope, ties Remote

IP address pasirinkite These IP addresses ir ten mygtuką Add:

7. Atsidariusiame lange pasirinkite IP address or subnet, jeigu norite pridėti konkretų IP adresą ar potinklį, arba This IP address range, jeigu norite pridėti IP adresų ruožą. Atlikus įvedimą pasirinkite OK:

Nurodžius IP adresą(-us) taisyklės nustatymuose pasirinkite Apply. Atlikus šį veiksmą prie serverio galės prisijungti tik naudotojai, kurių IP adresas yra tarp anksčiau nurodytų adresų.

SVARBU: prieš atsijungiant nuo serverio kelis kartus pertikrinkite ar nurodytas IP adresas ar ruožas yra teisingai įvestas. Kitaip nebegalėsite prisijungti prie serverio iš naujo.