การอนุญาต SSH สำหรับการตรวจสอบรหัสผ่านด้วย Amazon Linux 2 ใน EC2

สวัสดีเพื่อนๆ ชาว AWS Service ทุกท่านด้วยครับ ผมป๊อปครับ

ในบทความนี้ผมได้เขียนอธิบายเกี่ยวกับการอนุญาต SSH สำหรับการตรวจสอบรหัสผ่านด้วย Amazon Linux 2 ใน EC2 ไว้ สามารถเรียนรู้ในบทความนี้ได้เลยครับ

สิ่งที่ต้องมี

ก่อนอื่นต้องทำการติดตั้ง EC2 Instance สามารถดูวิธีการทำได้ที่ลิงก์ด้านล่างนี้

• วิธีติดตั้ง Amazon Linux บน EC2 และเชื่อมต่อเซิร์ฟเวอร์ด้วยโปรแกรม PuTTy
  ※ชื่อ Key Pairs และ EC2 Instance ของบทความนี้คือtinnakorn-password-auth

เมื่อสร้าง EC2 Instance เสร็จแล้วจะได้หน้าตาแบบนี้

และเมื่อ Login เข้ามา Amazon Linux 2 ด้วย PuTTy ได้แล้วจะมีหน้าตาแบบนี้

ข้อกำหนดเบื้องต้น

ก่อนดำเนินการตามขั้นตอนในบทความนี้ ต้องทำการเปลี่ยนec2-userให้เป็นrootทุกครั้ง เพื่อที่จะสามารถจัดการระบบใน Server Amazon Linux 2 ได้

เรียกใช้คำสั่งนี้เพื่อเข้าสู่ระบบในฐานะผู้ใช้ที่มีสิทธิ์root

sudo su -

เรียกใช้คำสั่งนี้เพื่อ Update server ให้เป็นปัจจุบันเสมอ

yum update -y

การตั้งค่าอนุญาต User และ Password ใน SSH

ก่อนอื่นทำการขยายหน้าโปรแกรม PuTTy ให้ใหญ่ขึ้นตามต้องการ เพื่อให้ง่ายต่อการดูและตั้งค่า เมื่อพร้อมแล้วมาเริ่มการตั้งค่ากันเลย

เรียกใช้คำสั่งนี้เพื่อแก้ไขไฟล์sshd_config

vi /etc/ssh/sshd_config

เมื่อเข้ามาแล้วให้ค้นหา PasswordAuthentication ตามนี้
① พิมพ์/Password+ Enter ลงไปได้เลย
② จากนั้นจะเจอPasswordAuthenticationเราจะทำการแก้ไขในส่วนนี้

เมื่อค้นหา PasswordAuthentication เจอแล้ว ให้แก้ไขตามนี้
① เปลี่ยนภาษาคีย์บอร์ด แล้วกดปุ่มiให้ขึ้น-- INSERT --
② เปลี่ยน PasswordAuthentication: ให้เป็นyes

กดปุ่มEscให้-- INSERT --หายไป แล้วพิมพ์:xหรือ:wqลงไปเพื่อบันทึกการตั้งค่าได้เลย

เรียกใช้คำสั่งนี้เพื่อ restart sshd

systemctl restart sshd

การตั้งค่า User และ Password ที่จะใช้ Login Server Amazon Linux 2

เรียกใช้คำสั่งนี้เพื่อเพิ่ม User ที่ชื่อtest(จะใช้ชื่ออะไรก็ได้)

useradd test

เรียกใช้คำสั่งนี้เพื่อตั้งค่า Password ให้กับ User:test

จากนั้นให้ใส่ New Password และ Retype new password ที่ต้องการใช้ Login เช่นcmth2022(ในส่วนของรหัสจะไม่แสดงให้เห็น ให้พิมพ์ลงไปได้เลย)
เมื่อขึ้นpasswd: all authentication tokens updated successfully.แล้ว การสร้าง Password นั้นเสร็จสมบูรณ์

passwd test

ทดสอบการ Login Server Amazon Linux 2 ด้วย User และ Password ที่ตั้งขึ้นเอง

คลิกขวาที่แถบด้านบนของโปรแกรม PuTTy แล้วเลือกNew Session...เพื่อเปิดหน้าต่างโปรแกรมใหม่ขึ้นมา

มาที่Connection › Dataและลบ ec2-user ออกจาก Auto-login username

มาที่Connection › SSH › Authและลบ Path หรือเส้นทางที่เก็บไฟล์ Key pair ออกจาก Browse...
จากนั้นคลิกOpenเพื่อ Login

ทีนี้เราจะได้ PuTTy ที่เป็น Terminal ใหม่เพิ่มขึ้นมา
ให้ใส่ User และ Password ลงไปได้เลย เช่น:

login as: test
test@18.142.108.90's password: cmth2022  # ในส่วนของ Password จะไม่แสดงข้อความให้เห็น ให้พิมพ์ลงไปได้เลย

เมื่อเข้ามาแล้วจะได้หน้าตาแบบนี้ โดยใช้ชื่อ Usertestในการ login

ทีนี้เรามาลองเข้าใช้งานrootกันดู โดยเรียกใช้คำสั่งด้านล่างนี้

จะเห็นว่าไม่สามารถเข้าไปยัง root ได้ พูดง่ายๆ คือไม่มีสิทธิ์ที่จะเข้าถึงrootได้นั่นเอง แต่ถ้าต้องการสิทธิ์เข้าถึง root สามารถทำได้ง่ายๆ ไปดูที่ขั้นตอนถัดไปได้เลยครับ

sudo su -

ตั้งค่าการเข้าถึงสิทธิ์ root ให้กับ User ที่สร้างขึ้นเอง

มาที่หน้าโปรแกรม PuTTy หน้าแรก หรือTerminal 1ซึ่งได้ทำการ login เข้าไปยัง root ไว้ก่อนหน้านี้แล้ว(คำว่าTerminalสามารถใช้เรียกแทนในส่วนนี้ได้)

จากนั้นเรียกใช้คำสั่งนี้เพื่อตั้งค่าsudo

visudo

เมื่อเข้ามาหน้า sudo แล้ว กดปุ่มiให้ขึ้น-- INSERT --และกดปุ่ม↓เลื่อนลงมาด้านล่างสุดจนเห็นคำว่า #includedir /etc/sudoers.d

ทำการเว้นบรรทัดมา 2 บรรทัดแล้วลบ#ที่บรรทัดสุดท้ายออก
จากนั้น Copy Code ด้านล่างนี้ แล้วนำไปวางในไฟล์ sudo โดยการคลิกขวา เพื่ออนุญาตการเข้าถึง root ให้กับ Usertestนั่นเอง (testนี้คือ User)

เมื่อเสร็จแล้วให้บันทึกโดยการกดปุ่มEscให้-- INSERT --หายไป และพิมพ์:xหรือ:wqเพื่อทำการบันทึก (ก่อนบันทึกให้ดูภาพประกอบด้วยว่าเหมือนกันหรือไม่ ยกเว้นชื่อ Usertestที่ต้องเปลี่ยน)

test ALL=(ALL) NOPASSWD:ALL

เมื่อตั้งค่าเสร็จแล้วกลับมาที่Terminal 2

เรียกใช้คำสั่งนี้เพื่อลอง login โดยใช้สิทธิ์การเข้าถึงrootอีกครั้ง
จะเห็นว่าสามารถเข้าถึงrootโดยใช้ชื่อ User:testได้เหมือนกับ Terminal 1 แล้ว

ถ้าเราสามารถใช้ login โดยใช้สิทธิ์การเข้าถึงrootด้วยชื่อ User:testได้แล้ว เพียงเท่านี้การตั้งค่าทั้งหมดในบทความนี้ก็เสร็จสมบูรณ์

ข้อควรระวัง

โปรดใช้ความระมัดระวังกับ EC2 Instance ที่มีการตั้งค่านี้ เนื่องจากมีความเสี่ยงที่จะถูกโจมตีจาก Brute-force attack ซึ่งผู้ก่อการร้ายจะโจมตีด้วยวิธีการส่งรหัสผ่านหรือข้อความรหัสผ่านจำนวนมาก โดยหวังว่าจะคาดเดาได้อย่างถูกต้อง ดังนั้นต้องใช้วิธีการจำกัด IP Address ในการเข้าถึง Server เพื่อความปลอดภัยของคุณเอง

อ่านเพิ่มเติมได้ที่: Brute-force attack

สรุป

การ Login เข้าใช้งาน Server Amazon Linux 2 โดยการเข้าถึงสิทธิ์ root นั้น สามารถทำได้หลายวิธี ซึ่งในบทความนี้เป็นการสาธิตวิธีการ login เข้ามายัง Amazon Linux 2 โดยใช้ User กับ Password ที่เราสร้างขึ้นเอง รวมไปถึงตั้งค่า sudo ให้สามารถเข้าใช้งานโดยมีสิทธิ์การเข้าถึง root ได้อีกด้วย

บทความที่เกี่ยวข้อง

• วิธีติดตั้ง Amazon Linux บน EC2 และเชื่อมต่อเซิร์ฟเวอร์ด้วยโปรแกรม PuTTy
• วิธีแก้ปัญหาการเชื่อมต่อ Security Group
• Brute-force attack