Почему я всегда настраиваю баннер входа на Linux-серверах (и что я в него включаю)
Это перевод оригинальной статьи Why I Always Set a Login Banner on Linux Servers (and What I Put in It)
Подписывайтесь на телеграм-канал usr_bin, где я публикую много полезного по Linux, в том числе ссылки на статьи в этом блоге.
Большинство администраторов пропускают баннер входа.
Он кажется косметическим — просто текст перед приглашением на вход. Но на самом деле это один из самых недооценённых механизмов безопасности, которые я использую на своих Linux-серверах.
Вот почему я всегда включаю его, что я в него включаю и как он способствует безопасности и соблюдению требований.
🚨 Почему баннер входа так важен
- Юридическое предупреждение.
Баннер чётко информирует: «Несанкционированный доступ запрещён». Это поможет вам защитить себя с юридической точки зрения в случае взлома вашей системы. - Отпугивает случайных злоумышленников
Автоматизированным ботам все равно, но предприимчивые злоумышленники часто обходят стороной, когда видят контролируемую систему. - Требования соответствия:
бенчмарки CIS, PCI-DSS, HIPAA и государственные системы — все они требуют размещения баннеров. - Подотчетность пользователей
Даже добросовестным пользователям напоминают, что их активность регистрируется и отслеживается.
🛠 Шаг 1: Создайте сообщение
Отредактируйте /etc/issue баннеры предварительного входа:
vi /etc/issue
WARNING: This system is for authorized use only. All activities are monitored and logged. Unauthorized access will be prosecuted.
Для удаленного входа по SSH отредактируйте /etc/issue.net:
vi /etc/issue.net
🛠 Шаг 2: Настройте SSH для отображения
vi /etc/ssh/sshd_config
Banner /etc/issue.net
systemctl restart sshd
🛠 Шаг 3: Добавьте уведомления после входа в систему
После успешного входа в систему отредактируйте /etc/motd (Сообщение дня):
vi /etc/motd
Welcome to [ServerName] All activity is logged. Contact admin@example.com for support.
🧠 Рекомендации по созданию баннеров входа
- Пишите кратко и ясно — юридическое уведомление + уведомление о мониторинге.
- Не раскрывайте конфиденциальную информацию (версию ОС или имя хоста в баннерах).
- Для обеспечения единообразия используйте один и тот же стандартный текст на всех серверах.
- В случае необходимости соблюдения нормативных требований уточните формулировку у своего юридического отдела/отдела безопасности.
📌 Заключительные мысли
Баннер входа не остановит злоумышленника, но задаёт тон:
➡️ Эта система находится под наблюдением. Вы несёте ответственность.
Это просто, бесплатно и необходимо во многих отраслях — вот почему я никогда его не пропускаю.
На этом все! Спасибо за внимание! Если статья была интересна, подпишитесь на телеграм-канал usr_bin, где будет еще больше полезной информации.