Как настроить баннер входа SSH и предупредительное сообщение на VPS?

В этой статье разберём:

  • чем отличается баннер до входа и сообщение после входа;
  • как настроить SSH-баннер через /etc/issue.net;
  • как включить баннер в sshd_config;
  • как настроить сообщение после входа через /etc/motd;
  • как проверить конфигурацию SSH и не потерять доступ к VPS;
  • какие ошибки чаще всего встречаются.

Что такое SSH-баннер и зачем он нужен

Когда пользователь подключается к серверу по SSH, он может увидеть сообщение ещё до ввода пароля или ключа. Это и есть предупредительный баннер.

Обычно в нём пишут:

  • что доступ разрешён только авторизованным пользователям;

  • что действия на сервере могут логироваться;

  • что несанкционированный доступ запрещён;

  • краткую информацию о сервере или ответственном администраторе.

Важно понимать разницу:

  • Banner — сообщение до входа, его видит пользователь до успешной авторизации;

  • MOTD — сообщение после входа, его видит уже авторизованный пользователь.

Для безопасности важнее именно Banner, потому что он показывается ещё до входа. А MOTD удобен для напоминаний администраторам: что это за сервер, какие правила работы, когда был последний бэкап и так далее.

Создаём файл предупредительного баннера

Для SSH-баннера обычно используют файл /etc/issue.net. Его можно создать или заменить своим текстом.

Открываем файл:

sudo nano /etc/issue.net

Пример аккуратного текста:

ВНИМАНИЕ!

Доступ к этому серверу разрешён только авторизованным пользователям.
Все действия могут записываться в системные журналы.

Если вы подключились к этому серверу по ошибке, немедленно завершите соединение.

Сохраняем файл: Ctrl+O, Enter, затем Ctrl+X.

Текст SSH-баннера в файле issue.net

Совет: не стоит писать в баннере лишнюю техническую информацию: версию ОС, название панели, подробности инфраструктуры. Чем меньше данных для постороннего человека — тем лучше.

Включаем баннер в sshd_config

Теперь нужно сказать SSH-серверу, что перед входом надо показывать файл /etc/issue.net.

Открываем конфигурацию SSH:

sudo nano /etc/ssh/sshd_config

Найдите строку с параметром Banner. Она может быть закомментирована:

#Banner none

Замените её или добавьте в конец файла:

Banner /etc/issue.net

После этого обязательно проверьте синтаксис конфигурации:

sudo sshd -t

Если команда ничего не вывела — ошибок нет. Теперь можно перезагрузить SSH без разрыва текущей сессии:

sudo systemctl reload ssh
Проверка параметров SSH-баннера через sshd

Важно: не закрывайте текущую SSH-сессию, пока не проверите вход в новом окне. Это старое доброе правило: сначала проверка, потом хлопаем дверью.

Проверяем отображение баннера при подключении

Откройте новое окно терминала или PowerShell и подключитесь к серверу как обычно:

ssh admin@IP_ВАШЕГО_VPS

Если SSH-баннер настроен правильно, текст из /etc/issue.net появится до запроса пароля или до завершения входа по ключу.

Если баннер не появился, проверьте:

  • есть ли строка Banner /etc/issue.net в /etc/ssh/sshd_config;

  • нет ли второй строки Banner none ниже по файлу;

  • перезагрузили ли вы SSH через sudo systemctl reload ssh;

  • есть ли сам файл /etc/issue.net и не пустой ли он.

Настраиваем сообщение после входа через MOTD

Теперь настроим сообщение, которое пользователь увидит уже после успешного входа. Для этого можно использовать файл /etc/motd.

Открываем файл:

sudo nano /etc/motd

Пример содержимого:

Добро пожаловать на VPS.

Правила работы:
- перед изменением конфигов делайте резервную копию;
- не отключайте SSH и фаервол без проверки;
- после правок проверяйте статус служб;
- важные действия фиксируйте в рабочем журнале.

Сохраняем файл и выходим из редактора.

Сообщение после входа через файл motd

После следующего входа по SSH этот текст должен отображаться в терминале.

Как управлять MOTD на Ubuntu

На Ubuntu сообщение после входа может формироваться не только из /etc/motd, но и через скрипты в каталоге:

/etc/update-motd.d/

Посмотреть список таких скриптов можно командой:

ls -l /etc/update-motd.d/

Они могут выводить информацию о системе, обновлениях, нагрузке и других параметрах. Поэтому иногда после входа вы видите не только свой текст, но и стандартные системные сообщения Ubuntu.

Если нужно временно отключить конкретный блок, у него можно убрать право выполнения. Например:

sudo chmod -x /etc/update-motd.d/10-help-text

Вернуть обратно:

sudo chmod +x /etc/update-motd.d/10-help-text

Совет: не отключайте все скрипты подряд. Некоторые сообщения бывают полезными: например, напоминания об обновлениях безопасности.

Параметры PrintMotd и PrintLastLog

В /etc/ssh/sshd_config есть параметры, которые влияют на сообщения после входа:

PrintMotd yes
PrintLastLog yes

  • PrintMotd yes — показывать MOTD после входа;

  • PrintLastLog yes — показывать информацию о последнем входе пользователя.

На некоторых системах MOTD управляется через PAM, поэтому поведение может отличаться. Если /etc/motd не показывается, проверьте файл:

grep -R "pam_motd" /etc/pam.d/

На Ubuntu обычно используется PAM-модуль pam_motd, который и отвечает за вывод сообщений после входа.

Что лучше писать в предупреждении

Хороший баннер должен быть коротким и понятным. Не нужно превращать его в роман на три экрана.

Нормальный вариант:

Доступ разрешён только авторизованным пользователям.
Все действия могут логироваться.
Несанкционированный доступ запрещён.

Что лучше не писать:

  • точную версию операционной системы;

  • название панели управления;

  • внутренние IP и схему сети;

  • пароли, подсказки, имена администраторов;

  • шутки, которые могут выглядеть неуместно на рабочем сервере.

Баннер должен предупреждать, а не помогать постороннему человеку лучше понять ваш сервер.

Частые ошибки и решения

  • Баннер не отображается

    Проверьте строку в SSH-конфиге:

    grep -i "^Banner" /etc/ssh/sshd_config

    Должно быть:

    Banner /etc/issue.net

  • После правки SSH не перезагружается

    Проверьте синтаксис:

    sudo sshd -t

    Если есть ошибка, исправьте её перед перезагрузкой службы.

  • MOTD не показывается после входа

    Проверьте PrintMotd и PAM:

    grep -i "PrintMotd" /etc/ssh/sshd_config
grep -R "pam_motd" /etc/pam.d/

  • Сообщений слишком много

    Проверьте каталог /etc/update-motd.d/. Возможно, стандартные скрипты Ubuntu выводят дополнительные блоки.

Итоги

  • Разобрались, чем отличается SSH-баннер до входа от MOTD после входа.

  • Создали предупреждение в /etc/issue.net.

  • Включили показ баннера через параметр Banner в sshd_config.

  • Настроили сообщение после входа через /etc/motd.

  • Проверили синтаксис SSH и разобрали типичные ошибки.

Вывод: баннер входа и MOTD — простые, но полезные элементы порядка на VPS. Они не заменяют полноценную защиту, но помогают сделать доступ к серверу более понятным, формальным и безопасным.

Оставить комментарий