Вопрос или проблема
Я только что запустил rkhunter --check и всё было хорошо, кроме этого:
Проверка, разрешен ли доступ к SSH root [ Warning]
Что значит это предупреждение? Доступ к SSH root не разрешен на этой системе.
ИЗМЕНЕНИЕ #1
Вот как настроен мой /etc/ssh/sshd_config:
PermitRootLogin no
и rkhunter.conf
root ~ # cat /etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USER
#ALLOW_SSH_ROOT_USER=no
ALLOW_SSH_ROOT_USER=unset
Следующие значения должны совпадать:
-
В конфигурации
rkhunter:cat /etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USERALLOW_SSH_ROOT_USER=no -
В конфигурации
sshd:cat /etc/ssh/sshd_config | grep PermitRootLoginPermitRootLogin no
Как только они совпадут, предупреждений от rkhunter больше не будет.
Если в вашем /etc/ssh/sshd_config установлено
PermitRootLogin without-password
Значение в /etc/rkhunter.conf также должно совпадать, как в следующем примере:
ALLOW_SSH_ROOT_USER=without-password
Не забудьте убрать знак решетки (#)
До в (/etc/ssh/sshd_config):
#PermitRootLogin prohibit-password
Сейчас:
PermitRootLogin no
До в (/etc/rkhunter.conf):
#ALLOW_SSH_ROOT_USER=no
Сейчас:
ALLOW_SSH_ROOT_USER=no
Оба файла должны иметь одинаковые значения.
PS: Бывает, что я просто менял значения, не убирая решетку, и при запуске
(sudo rkhunter -c –rwo) я продолжал получать предупреждение о конфигурации SSH.
.
Ответ или решение
Если при запуске сканирования с помощью rkhunter вы получаете предупреждение о разрешении root-доступа через SSH на вашей системе, хотя вы уверены, что такой доступ действительно запрещен, необходимо обратить внимание на несколько аспектов конфигурации, чтобы устранить проблему.
Причины и решения предупреждений
-
Несоответствие конфигурационных файлов
Ваша конфигурация демонстра
sshdи конфигурацияrkhunterдолжны иметь согласованные настройки относительно root-доступа. Рассмотрим их подробнее:-
Файл конфигурации
sshd:- Убедитесь, что в вашем
/etc/ssh/sshd_configустановлена строкаPermitRootLogin no. Это гарантирует, что root-доступ через SSH действительно запрещен.
- Убедитесь, что в вашем
-
Файл конфигурации
rkhunter:- Проверьте настройки в
/etc/rkhunter.confс помощью командыcat /etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USER. Убедитесь, что строкаALLOW_SSH_ROOT_USERустановлена вnoи что перед ней нет символа#(что свидетельствовало бы о том, что строка закомментирована).
- Проверьте настройки в
Если оба файла синхронизированы и установлены так, как должно, предупреждение должно исчезнуть.
-
-
Другие возможные настройки
Если вы используете другой подход к аутентификации, например, настроив
PermitRootLoginнаwithout-password, то вам нужно аналогично установитьALLOW_SSH_ROOT_USER=without-passwordвrkhunter.conf. -
Снять комментарий с конфигурационных строк
Если вы ранее вносили изменения, забыв снять комментарий (символ
#),rkhunterбудет продолжать считать данные установки закомментированными. Проверьте, чтобы строки, отвечающие за настройки доступа, были активны.
Подключение к контексту и дальнейшие шаги
Для устранения предупреждения после приведения файлов конфигурации в единую систему, перезапустите службу SSH и выполните повторную проверку с помощью команды sudo rkhunter -c --rwo. Регулярные проверки с помощью rkhunter обеспечат защиту от потенциальных угроз и своевременно выявят изменения в настройках системы.
Если проблема сохраняется, возможно, стоит изучить журналы системных логов для получения более детальной информации о попытках доступа или ошибках конфигурации. Это поможет понять, нет ли каких-то остаточных проблем или ошибок синтаксиса в конфигурационных файлах.
Итог
Настройка безопасности, предотвращающая root-доступ по SSH, должна быть правильно отражена как в конфигурации демонстра SSH, так и в инструменте безопасности rkhunter. Корректная синхронизация этих файлов является ключом для правильной работы системы защиты. Не забывайте периодически пересматривать конфигурации для поддержания высокого уровня IT-безопасности.