====== Базовая настройка SSH и пользователей ======
[[#|{{data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSIyNCIgaGVpZ2h0PSIyNCIgdmlld2JveD0iMCAwIDI0IDI0IiBmaWxsPSJub25lIiBzdHJva2U9ImN1cnJlbnRDb2xvciIgc3Ryb2tlLXdpZHRoPSIyIiBzdHJva2UtbGluZWNhcD0icm91bmQiIHN0cm9rZS1saW5lam9pbj0icm91bmQiIHN0eWxlPSJjb2xvcjogdmFyKC0tYWNjZW50KSI+PHBhdGggZD0iTTEyIDJMMiA3bDEwIDUgMTAtNS0xMC01ek0yIDE3bDEwIDUgMTAtNU0yIDEybDEwIDUgMTAtNSI+PC9wYXRoPjwvc3ZnPg==}} LinuxMaster]]
Лучшие практики сисадмина
ALT Linux SSH Безопасность
====== Полное руководство по настройке пользователей и безопасности SSH в ALT Linux ======
Опубликовано: 15 мая 2026 • Время чтения: 5 мин
ALT Linux является отличным и надежным выбором для серверной инфраструктуры. В этой статье мы рассмотрим абсолютно типовую, шаблонную настройку системы: от добавления локальных пользователей с нужными правами до конфигурирования службы SSH для обеспечения максимальной безопасности. Данный мануал подойдет для любых узлов — будь то обычные серверы приложений или сетевые маршрутизаторы на базе ALT Linux.
===== Шаг 1. Настройка прав и пользователей =====
В первую очередь необходимо убедиться, что у нас установлена утилита ''%%sudo%%'', которая позволяет выполнять команды от имени суперпользователя без необходимости постоянно использовать аккаунт root.
bash
apt-get update && apt-get install -y sudoers
Для повышения безопасности настоятельно не рекомендуется работать напрямую под пользователем ''%%root%%''. Давайте создадим стандартную учетную запись для удаленного доступа. Вы можете повторять этот процесс для создания любого количества дополнительных администраторов (например, для администратора сети). Создать пользователя можно обычной командой, либо с указанием конкретного идентификатора (UID), добавив ключ ''%%-u ваш_номер_группы%%'':
bash
# Обычное создание пользователя:
adduser имя_пользователя
# Либо с указанием конкретного UID:
adduser имя_пользователя -u ваш_номер_группы
Теперь установим пароль для нового пользователя. Используйте надежные пароли (например, ''%%P@ssword%%'' и сложнее):
bash
passwd имя_пользователя
Многие утилиты в Linux (например, команда ''%%su%%'') программно требуют, чтобы пользователь состоял в системной группе ''%%wheel%%''. Добавим нашего пользователя в эту группу (используем ключи ''%%-a%%'' для добавления и ''%%-G%%'' для указания группы):
bash
usermod -aG wheel имя_пользователя
Зачастую для служебных аккаунтов или при использовании систем автоматизации (Ansible и т.д.) требуется дать возможность использовать ''%%sudo%%'' без ввода пароля. Сделаем это, создав отдельный файл в директории ''%%sudoers.d%%'' (формат записи: кто с_какой_машины=(от_имени_кого:от_имени_какой_группы) какие_команды):
bash
echo "имя_пользователя ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/имя_пользователя
**Важно:** Если система выдает предупреждение вида ''%%sudo: /etc/sudoers.d/имя_пользователя is world writeable%%'', необходимо строго запретить всем остальным пользователям запись в этот файл:
bash
chmod 0440 /etc/sudoers.d/имя_пользователя
Проверим корректность настроек. Переключимся на нашего пользователя, а затем попробуем повысить привилегии до root:
bash
su - имя_пользователя
su -
===== Шаг 2. Установка и тонкая настройка SSH =====
После того как пользователи созданы, можно переходить к настройке удаленного доступа. В нашем примере конфигурация актуальна для пакетов **OpenSSH_7.9p1** (и новее) и **OpenSSL 1.1.1.w**.
Установим SSH-сервер, если в вашей минимальной сборке он еще не установлен:
bash
apt-get update && apt-get install -y openssh-server
Откроем основной конфигурационный файл для редактирования:
bash
vim /etc/openssh/sshd_config
Чтобы максимально обезопасить сервер, мы детально настроим службу SSH. Для начала изменим стандартный порт на нестандартный (замените ''%%ваш_порт%%'' на любое свободное значение, например от 1024 до 65535). Это защитит от большинства автоматических сканеров:
sshd_config
Port ваш_порт
Далее строго ограничим количество неудачных попыток авторизации. Если злоумышленник попытается подобрать пароль, после двух ошибок соединение будет сброшено. Это крайне важно для защиты от bruteforce атак:
sshd_config
MaxAuthTries 2
Теперь жестко зададим «белый список» пользователей, которым разрешено удаленное подключение. Укажите здесь ваше имя пользователя. Все остальные аккаунты, включая системные, будут автоматически отклонены:
sshd_config
AllowUsers имя_пользователя
Полезной практикой при аудите безопасности является вывод предупреждающего сообщения (баннера) перед авторизацией. Укажем путь к файлу, который мы создадим на следующем шаге:
sshd_config
Banner /etc/ssh-banner
В обязательном порядке запрещаем прямой вход под суперпользователем (root). Это золотое правило безопасности серверов Linux, защищающее инфраструктуру от перехвата полного контроля при утечке основного пароля:
sshd_config
PermitRootLogin no
//Сохраните файл и закройте редактор (в vim нажмите ''%%ESC%%'', введите ''%%:wq%%'' и нажмите ''%%Enter%%'').//
Теперь создадим файл баннера с текстом предупреждения о несанкционированном доступе:
bash
echo "Authorized access only" > /etc/ssh-banner
Осталось только добавить службу SSH в автозагрузку системы и перезапустить ее, чтобы наша новая конфигурация применилась:
bash
systemctl enable sshd
systemctl restart sshd
Готово! На этом базовая подготовка и защита вашего сервера завершена.
{{data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSIyMCIgaGVpZ2h0PSIyMCIgdmlld2JveD0iMCAwIDI0IDI0IiBmaWxsPSJub25lIiBzdHJva2U9ImN1cnJlbnRDb2xvciIgc3Ryb2tlLXdpZHRoPSIyIiBzdHJva2UtbGluZWNhcD0icm91bmQiIHN0cm9rZS1saW5lam9pbj0icm91bmQiIHN0eWxlPSJjb2xvcjogdmFyKC0tYWNjZW50KSI+PHBhdGggZD0iTTEyIDJMMiA3bDEwIDUgMTAtNS0xMC01ek0yIDE3bDEwIDUgMTAtNU0yIDEybDEwIDUgMTAtNSI+PC9wYXRoPjwvc3ZnPg==}} LinuxMaster
© 2026 LinuxGuides. Все права защищены.