Повышаем безопасность ssh

Опишу простые приёмы, которые повышают безопасность ssh. Не
обязательно применять именно все рекомендации (некоторые вообще могут
не подходить для ваших целей), но желательно как можно больше

— использовать openssh, вместо системного sshd.

Он чаще обновляется, быстрее исправляют баги.

— перенос порта:

Причём не просто перенос на 222 или 2222, так как такие порты
злоумышленники тоже сканируют, а например, на такой: 9753.
Запоминается легко.

— аутентификация по ключам

Вообще, в идеале — запретить парольную аутентификацию и разрешить
только по ключам, причём ключи генерировать с паролем! Даже если у вас
их и похитят, всё равно не смогут воспользоваться

— Protocol 2

Откажитесь от старых протоколов.

— PermitRootLogin no

Запретить вход root’y

— LoginGraceTime 1m

Ограничить время простоя при логине

— StrictModes yes

Строгий режим, который сверяет владельца, режим доступа к файлам.
Будь-те внимательны, при включении этого режима, так как при одном
неправильном выставленном chmod’e на файлы, можете не зайти обратно на
сервер

— MaxAuthTries 4

Количество попыток аутентификации

— AllowUsers johndoe

Разрешите доступ только тем, кому нужно

— PermitEmptyPasswords no

Запрещаем пустые пароли

— X11Forwarding no

На сервере это вообще не нужно

— UsePrivilegeSeparation yes

Для предотвращения инкапсуляций привилегий создаётся новый
непривелегированный процесс.

— VersionAddendum

Отключаем вывод версии ssh