แบบแรกที่ควรทำคือ การแจ้งทาง Email มาที่เราทันทีที่มีการ login เป็น root บน Server ของเรา
E-mail Alert on Root SSH Login
1. Login เข้าไปที่ server แล้ว su - เป็น root
2. cd /root
3. pico .bashrc
4. เลื่อนไปที่บรรทัดล่างสุดของไฟล์ แล้วใส่ข้อความนี้ไว้:
echo ‘ALERT - Root Shell Access (YourserverName) on:’ `date` `who` | mail -s “Alert: Root Access from `who | cut -d”(” -f2 | cut -d”)” -f1`” you@yourdomain.com
แทนที่ YourServerName ด้วยชื่อ Server ของคุณ
แทนที่ you@yourdomain.com ด้วย email address ของคุณ
5. Crtl + X แล้วกด Y
และ อีกจุดหนึ่งที่เราควรแก้ไข คือไม่อนุญาตให้ root ทำการ SSH เข้า Server โดยตรงได้ (Disable Direct Root Logins) ซึ่งถ้าทำตามนี้ จะทำให้ต้อง SSH เข้า Server ด้วย Account อื่น เช่นกรณีที่เช่า Server กับ RS เราจะมีอีก Account ที่สามารถ Access เข้า Server ได้ และใช้คนละ Password กับ root แล้วค่อย su - เป็น root จะช่วยป้องกันการดักจับ Password ระหว่างทางได้ในระดับหนึ่ง
**สำคัญมาก** ก่อนที่จะทำตามนี้ คุณต้องแน่ใจก่อนว่า User ที่จะอนุญาตให้ SSH เข้า Server ได้ (เช่น admin) อยู่ใน ‘wheel’ group
Disable Direct Root Logins
1. SSH เข้าไปที่ server เป็น ‘admin’ แล้ว su - เป็น root
2. ปรับแต่งแก้ไขไฟล์ดังนี้ เพื่อปรับ SSH logins
pico -w /etc/ssh/sshd_config
3. ค้นหาบรรทัดที่มี
Protocol 2, 1
4. Uncomment (ลบเครื่องหมาย # ข้างหน้า) แล้วแก้ให้เป็นดังนี้
Protocol 2
5. ค้าหาบรรทัดที่มี
PermitRootLogin yes
6. Uncomment (ลบเครื่องหมาย # ข้างหน้า) แล้วแก้ให้เป็นดังนี้
PermitRootLogin no
7. กด Ctrl+X และ Y แล้ว enter เพื่อ Save
8. เมื่อเรียบร้อยแล้วให้ restart SSH
/etc/rc.d/init.d/sshd restart
ถ้า คุณไม่ทำ Disable Direct Root Logins คุณก็ควรที่จะลบ User ‘admin’ ออกจาก ‘wheel’ group เพื่อให้มี root เพียงคนเดียว ที่จะสามารถเข้าถึง Server ในระดับลึกได้ครับ
Thanks, tum.in.th
Server
Hyper converged
Storage
UPS
Networking
PC
All in one
Notebook
Monitor
Printer
Hosting
Google cloud
AWS
Microsoft Azure
SSL
