Защита SSH (Secure Shell) от взлома — это критически важная задача, особенно если сервер доступен из интернета или используется в локальной сети с потенциальными уязвимостями. SSH предоставляет удалённый доступ к серверу, и если злоумышленник получит доступ к вашему SSH, он сможет полностью контролировать систему, что может привести к серьёзным последствиям. Давайте разберём, почему это так важно и какие риски возникают при отсутствии защиты.

Почему SSH нужно защищать?

SSH — это «входная дверь» в ваш сервер
SSH часто используется для управления серверами, особенно в Linux/Unix-системах. Если злоумышленник взломает SSH, он получит полный доступ к серверу, включая возможность:

• • Устанавливать вредоносное ПО (например, майнеры криптовалюты или ransomware).
  • Удалять или изменять важные данные.
  • Использовать сервер как плацдарм для атак на другие системы (например, в рамках ботнета).
  • Получить доступ к конфиденциальной информации (пароли, ключи, данные пользователей).

Популярность атак на SSH
SSH-серверы — одна из самых частых целей для автоматизированных атак. Боты постоянно сканируют интернет в поисках открытых портов SSH (по умолчанию это порт 22) и пытаются подобрать пароли методом перебора (brute-force). Например:

1. • По данным исследований, таких как отчёт F5 Labs за 2023 год, SSH-серверы подвергаются миллионам атак ежедневно.
   • Если у вас слабый пароль (например, «admin123»), его могут подобрать за считанные минуты с помощью инструментов вроде Hydra или Medusa.

Риск утечки данных
Если злоумышленник получит доступ через SSH, он сможет скачать все данные, хранящиеся на сервере. Это особенно опасно, если сервер содержит:

1. • Персональные данные пользователей (например, в соответствии с GDPR или другими законами о защите данных).
   • Коммерческую информацию (контракты, финансовые данные).
   • Ключи доступа к другим системам (например, API-ключи, приватные ключи для других серверов).

Компрометация всей сети
Если сервер находится в локальной сети, взлом SSH может стать точкой входа для атаки на другие устройства в сети. Злоумышленник может:

1. • Использовать сервер для сканирования сети.
   • Распространять вредоносное ПО на другие машины.
   • Перехватывать трафик (например, через ARP-спуфинг).

Репутационные и финансовые потери
Если ваш сервер взломают, это может привести к:

1. • Утечке данных клиентов, что подорвёт доверие к вашей компании.
   • Штрафам за нарушение законов о защите данных (например, GDPR может наложить штраф до 20 млн евро или 4% годового оборота).
   • Простоям в работе, что приведёт к финансовым убыткам.

1️⃣ Отключаем root-доступ. Вход под пользователем root — это частая цель атак. Запретите его в /etc/ssh/sshd_config:

PermitRootLogin no

2️⃣ Меняем стандартный порт.

Port 10022

3️⃣ Используем SSH-ключи вместо паролей! Аутентификация по ключам гораздо безопаснее, чем по паролю. Отключите вход по паролю в /etc/ssh/sshd_config:

PasswordAuthentication no
PubkeyAuthentication yes

После этого сгенерируйте пару ключей:

ssh-keygen -t rsa -b 4096

И скопируйте публичный ключ на сервер:

ssh-copy-id user@server

Всё, теперь можно «заряжать» ключ в ssh-клиент и пользоваться!

4️⃣ Ограничиваем доступ по IP. Тут можно просто ограничить вход только с доверенных IP через AllowUsers или AllowGroups:

AllowUsers [email protected]

А можно настроить соответствующее правило в фаерволе. Вот пример для ufw:

sudo ufw allow from 192.168.1.0/24 to any port 10022
sudo ufw deny 10022

5️⃣ Включаем защиту от brute-force атак. В этом нам поможет утилита fail2ban, которая блокируют IP-адреса после нескольких неудачных попыток входа. Установка fail2ban:

apt install fail2ban # Debian/Ubuntu
yum install fail2ban # CentOS/RHEL

Прописываем настройки в файле: /etc/fail2ban/jail.local:

[sshd]
enabled = true
maxretry = 3
findtime = 10m
bantime = 1h

6️⃣ Отключаем X11 Forwarding и пустые пароли

X11Forwarding no
PermitEmptyPasswords no

P.S.:

Защита SSH — это не просто рекомендация, а необходимость, особенно для серверов, доступных из интернета. Взлом SSH может привести к катастрофическим последствиям: от утечки данных до полной компрометации инфраструктуры. Внедрение базовых мер безопасности, таких как смена порта, использование ключей, настройка файрвола и мониторинг, значительно снижает риски. Однако важно помнить, что безопасность — это непрерывный процесс, и нужно регулярно обновлять настройки и следить за новыми угрозами.

В последнее время всё больше и больше приложений для iPhone позволяют включить авторизацию в момент запуска приложений. В то же время, много нужных и важных приложений до сих пор, к сожалению, не имеют возможности подключить авторизацию. Но и тут есть небольшая хитрость. Можно добавить блокировку по Face ID для всех нужных приложений. И вот как это делается.

1️⃣ Запускаем приложение «Команды».
2️⃣ Открываем вкладку «Автоматизация» и выбираем «Создать автоматизацию для себя».
3️⃣ Далее надо выбрать условие «Приложение».
4️⃣ Укажите ту программу, для которой надо включить Face ID и активируйте значок «Открыто».
5️⃣ Тапните на «Далее», после чего выберите действие «Запустить таймер». Время установите — 1 секунда.
6️⃣ Нажмите на «Далее» и отключите переключатель «Спрашивать до запуска».
7️⃣ Сохраните автоматизацию.
8️⃣ В приложении «Часы» установите действие таймера по окончании «Остановить».

Вот и всё! Теперь если посторонний человек вдруг возьмет ваш iPhone, то через 1 секунду после запуска указанного приложения он будет заблокирован. Таким образом можно поставить Face ID практически для любого приложения и защититься по максимуму.

К сожалению, изначально предустановленных или встроенных инструментов, позволяющих в Windows 10 запаролить папку — нет. Поэтому пользователям приходится прибегнуть к помощи дополнительных программ, которых на просторах Интернета можно встретить немало. Я расскажу свои способы, которые позволяют мне без проблем поставить пароль на папку на рабочем столе или локальном диске без особых проблем и заморочек. Да, возможно они не самые удобные, но зато простые и работают безотказно и главное — бесплатно!

Ставим пароль на папку с Wise Folder Hider

Первый способ подразумевает установку специальной утилиты Wise Folder Hider, которая отлично умеет не только скрывать папки и диски, но ещё и ставить пароли на них. Скачать её можно здесь — ссылка.

После установки программа потребует создать пароль пользователя, чтобы никто кроме Вас не смог её запустить.

Затем Вы увидите окно, в которое надо будет перетащить ту папку, на которую требуется поставить пароль:

После этого появится строчка с путём к папке, которую надо запаролить в Windows 10. В конце строки будет столбец «Операция» в котором надо выбрать пункт «Установить пароль»:

После этого появится окно, в котором надо прописать пароль на папку, повторить его в поле подтверждения и нажать кнопку «ОК».

Вот и всё. Теперь, запароленная папка не будет отображаться на рабочем столе или диске до тех пор, пока Вы не запустите программу Wise Folder Hider и в конце строки не выберите пункт «Показать»:

Появится окно, где надо ввести пароль для папки и нажать кнопку «ОК». После этого она откроется в новом окне проводника.

Запароленная папка-архив

Второй способ, который позволяет скрыть свою информацию от посторонних глаз — это создать архив и поставить на него пароль. Конечно, не скажешь, что этот способ удобен, но он позволяет защитить свои данные даже там, где у Вас нет прав для установки дополнительных приложений. Например, на работе или в институте.

Чтобы это сделать — создайте архив тем архиватором, которым Вы пользуетесь. У меня, например, это 7zip. В параметрах архива есть параметры безопасности, в которых есть поля для ввода пароля на папку:

Вводим свой пароль, подтверждаем его и нажимаем на кнопку «ОК».

Дальше уже с архивом можно работать как с обычной папкой — кидать туда файлы, папки и документы, просматривать их, изменять и сохранять.

Если же посторонний запустить этот архив, то сами файлы он может увидеть, а вот просмотреть содержимое уже нет — будет запрашиваться пароль!

Защита папки BAT-файлом

Ну и последний способ запаролить папку поможет Вам в том случае, когда надо защитить её от просмотра людьми, скажем так, с низким уровнем компьютерной грамотности — от жен, детей и т.п. Такую защиту папки более-менее грамотный пользователь сможет обойти за пару минут и потому доверять ей серьёзные секреты не стоит.
Итак, для того, чтобы поставить пароль на папку без программ в Виндовс 10 — создайте в нужном месте (на рабочем столе или локальном диске) текстовый файл вот с таким содержимым:

cls
@ECHO OFF
title Папка под паролем
if EXIST «Locker» goto UNLOCK
if NOT EXIST Private goto MDLOCKER
:CONFIRM
echo Вы собираетесь заблокировать папку?(Y/N)
set/p «cho=>»
if %cho%==Y goto LOCK
if %cho%==y goto LOCK
if %cho%==n goto END
if %cho%==N goto END
echo Неправильный выбор.
goto CONFIRM
:LOCK
ren Private «Locker»
attrib +h +s «Locker»
echo Папка заблокирована
goto End
:UNLOCK
echo Введите пароль, чтобы разблокировать папку
set/p «pass=>»
if NOT %pass%== СЮДА_ВВЕДИТЕ_ПАРОЛЬ_НА_ПАПКУ goto FAIL
attrib -h -s «Locker»
ren «Locker» Private
echo Папка успешно разблокирована
goto End
:FAIL
echo Неправильный пароль
goto end
:MDLOCKER
md Private
echo Секретная папка создана
goto End
:End

Сохраните этот файл, а затем меняем у него расширение с .txt на .bat и запускаем. После того, как Вы запустите этот файл, автоматически будет создана папка «Private». В неё можно будет сложить свои файлы. Затем опять запускаем этот bat-файл. Система спросит хотим ли мы заблокировать папку — нажмите клавишу «Y». Всё, папка пропадёт. Для того, чтобы она появилась — опять запускаем наш bat-файл и вот тут уже у нас будет запрашиваться пароль на папку. После его ввода каталог появится и будет доступен для работы с ним.
Обратите внимание, что пароль прописывается в самом bat-файле и это главный минус в безопасности. То есть, если человек откроет файл на редактирование в любом текстовом редакторе, то увидит ключ безопасности и сможет получить доступ к запароленной папке.