Пошаговый гайд по настройке SSH в Astra Linux Special Edition 1.4
Важное предупреждение:
Astra Linux 1.4 официально снята с поддержки, не получает обновлений безопасности и не соответствует текущим требованиям ФСТЭК. Рекомендуется планировать миграцию на 1.7/1.8. Гайд приведен для легаси-сред и тестовых контуров.
Шаг 1. Установка OpenSSH Server
По умолчанию в Astra Linux SE служба SSH не установлена или отключена из-за требований аттестации.
sudo apt update
sudo apt install openssh-server openssh-client
После установки служба создаётся, но может не запускаться автоматически из-за политик безопасности.
Шаг 2. Базовая настройка sshd_config
Отредактируйте конфигурационный файл:
sudo nano /etc/ssh/sshd_config
Рекомендуемые параметры для рабочего режима:
| Параметр | Значение | Пояснение |
|---|---|---|
Port |
22 (или другой) |
Стандартный порт. При смене не забудьте открыть его в firewall. |
PermitRootLogin |
prohibit-password |
Запрет входа под root по паролю. Разрешён только по ключу. |
PasswordAuthentication |
no |
Отключение парольной аутентификации (рекомендуется после настройки ключей). |
PubkeyAuthentication |
yes |
Включить аутентификацию по ключам. |
MaxAuthTries |
3 |
Ограничение попыток ввода. |
AllowUsers |
user1 user2 |
(Опционально) Белый список пользователей для SSH. |
X11Forwarding |
no |
Отключить, если не используется. |
UsePAM |
yes |
Оставить включённым для интеграции с учётными записями Astra. |
Проверка синтаксиса перед применением:
sudo sshd -t
Если команда не вывела ошибок, конфигурация корректна.
Шаг 3. Настройка аутентификации по ключам
На клиенте (откуда подключаетесь):
ssh-keygen -t ed25519 -C "d@astra-workstation"
Скопируйте публичный ключ на сервер:
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@<IP_Сервера>
(Если ssh-copy-id недоступен, скопируйте содержимое id_ed25519.pub вручную в ~/.ssh/authorized_keys на сервере)
На сервере (проверка прав):
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chown -R $USER:$USER ~/.ssh
Шаг 4. Запуск и включение службы
В Astra Linux 1.4 используется systemd. Имя службы: ssh.
sudo systemctl daemon-reload
sudo systemctl enable ssh
sudo systemctl start ssh
sudo systemctl status ssh
Статус должен быть active (running).
Шаг 5. Настройка брандмауэра
Astra Linux 1.4 по умолчанию использует iptables.
Разрешите входящие соединения на порт SSH:
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Сохранение правил (чтобы не слетели после перезагрузки):
sudo apt install iptables-persistent
sudo netfilter-persistent save
Если в вашей сборке используется fly-admin-firewall или кастомные скрипты инициализации, правила лучше добавить в соответствующий профиль или /etc/network/if-pre-up.d/.
Шаг 6. Особенности Astra Linux SE (MAC/Parsec)
Astra Linux Special Edition использует мандатный контроль доступа (Parsec).
В профилях безопасности Высокая или Максимальная могут применяться дополнительные ограничения:
1. Проверка текущего уровня:
pdpl -q
2. Если SSH стартует, но соединения сбрасываются, проверьте логи мандатного контроля:
sudo grep -i "parsec\|pdp\|mac" /var/log/syslog /var/log/auth.log
- В сертифицированных конфигурациях сеть может быть ограничена на уровне политик.
Для корректировки используйте:
fly-admin-smc(Система управления безопасностью)- Или обратитесь к администратору контура для изменения сетевых меток и правил фильтрации трафика.
В большинстве типовых развёртываний (уровень Обычный или Усиленный) стандартная настройка SSH работает без дополнительных действий по MAC.
Шаг 7. Проверка подключения
С другого узла:
ssh -v -i ~/.ssh/id_ed25519 user@<IP_Сервера> -p 22
Ключ -v выведет подробный журнал. Успешное завершение без запроса пароля означает корректную настройку.
Логи на сервере:
sudo tail -f /var/log/auth.log
Устранение типичных проблем
| Симптом | Причина | Решение |
|---|---|---|
Connection refused |
Служба не запущена или порт закрыт | systemctl status ssh, проверить sshd_config и iptables |
Permission denied (publickey) |
Неверные права или ключ не добавлен | Проверить ~/.ssh (700), authorized_keys (600), PubkeyAuthentication yes |
Protocol mismatch |
Клиент/сервер используют разные версии | Убедиться, что на обеих сторонах OpenSSH >= 6.6 |
| Служба падает при старте | Ошибка в конфиге | sudo sshd -t, исправить синтаксис |
| Блокировка после 3 попыток | Встроенные лимиты или fail2ban | Проверить /etc/ssh/sshd_config (MaxAuthTries) и /var/log/fail2ban.log |
Рекомендации по безопасности
- Не используйте Astra 1.4 в продуктивных контурах без компенсирующих мер (сегментация сети, WAF/IPS, строгий аудит).
- Отключите вход по паролю:
PasswordAuthentication no - Ограничьте доступ по IP:
AllowUsers user@192.168.1.0/24или черезiptables - Регулярно обновляйте пакеты:
sudo apt upgrade - Для соответствия ФСТЭК используйте сертифицированные сборки Astra Linux 1.7/1.8 с актуальными обновлениями безопасности.