• SSH Essentials: Working with SSH Servers, Clients, and Keys
• Настраиваем и защищаем SSH от Карманова
• Upgrade OpenSSH Server on your Ubuntu Distro manually ( tested on 22.04 LTS )
• Описание файла конфигурации

 ssh-keygen -o -a 256 -t ed25519 -C "$(hostname)-$(date +'%d-%m-%Y')"

Лучше выбирать ed25519, т.к. он короче и безопаснее.

  ssh-copy-id username@remote_host
  # или
  cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
  # или
  cat ~/.ssh/id_rsa.pub
  mkdir -p ~/.ssh
  echo public_key_string >> ~/.ssh/authorized_keys 

если генерируем ключ в puttygen, то вставляем в .ssh/authorized_keys открытый ключ

А закрытый ключ нужно указывать в клиенте, с помощью которого входим.

  ssh username@remote_host    

  sudo nano /etc/ssh/sshd_config
  PasswordAuthentication no
  sudo systemctl restart ssh

  sudo sshd -t

sudo nano /etc/systemd/system/sshd.service

Если аутентификация не проходит с помощью сертифката, а в логах по

  journalctl -u ssh

появляется ошибка

  Authentication refused: bad ownership or modes for file /root/.ssh/authorized_keys

то нужно поменять владельца и права на папку, файл.

  chmod -R u+rwx,go-rwx ~/.ssh

или

  chmod -R 0700 ~/.ssh

Проверка прав

  ls -ld .ssh/

Используйте SSH второй версии

 в файле /etc/ssh/sshd_config указана опция Protocol 2.

Ограничивайте SSH доступ

  AllowUsers root merion networks - разрешить доступ пользователей  root merion networks

С другой стороны, вы можете разрешить доступ всем пользователям, кроме указанных:

   DenyUsers root merion networks

Важно указывать время, в течение которого, неактивная сессия будет терминирована (завершена). Это можно сделать следующими опциями:

   ClientAliveInterval 300
   ClientAliveCountMax 0

В данной настройке мы указали время бездействия равным 300 секунд (5 минут).

Дело в том, что данный файл содержит список хостов и пользователей. Если в данном файле содержится комбинация хоста и юзера, то данный пользователь сможет подключиться к системе по SSH без запроса пароля. Рекомендуем отключить эту «замечательную» фичу:

  IgnoreRhosts yes   

Так называемая Host-Based Authentication позволяет пользователю с определенного хоста подключаться к серверу. Отключаем:

   HostbasedAuthentication no

Не нужно открывать root. Максимум, советуем использовать прямое root подключение на время проведения работ. Затем отключать. Лучше давать su (sudo) доступ для некоторых категория пользователей. Закрыть можно вот так:
  PermitRootLogin no

Для каждого подключающегося сделайте баннер, в котором можно угрожать злоумышленникам, которые пытаются совершить несанкционированный доступ. За настройку баннера отвечает параметр Banner.

Сделайте доступ к 22 порту системы только через цепочку фаервол правил. Лучше всего, оставить доступ только изнутри LAN. Например, в Iptables можно дать доступ для 192.168.11.0/24:

1. A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state –state NEW -p tcp –dport 22 -j ACCEPT

По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP – адрес, на котором необходимо ожидать подключения. Например, мы укажем порт 962 и IP – адрес 192.168.11.24

  Port 962
  ListenAddress 192.168.11.24

Бывают пользователи без паролей. Их доступ к SSH так же необходимо запретить с помощью опции:

  Port 962
  PermitEmptyPasswords no

Установите логирование событий в режим INFO или DEBUG – это позволит иметь расширенный контроль над системой:

   LogLevel INFO    
  

  scp [OPTION] [user@]SRC_HOST:]file1 [user@]DEST_HOST:]file2