01.11.2010, 18:53
Witam. Pokażę Wam jak dodać kilka zabezpieczeń do Waszego serwera SSH dzięki którym intruz będzie mieć utrudnione albo nawet uniemożliwione zadanie 
1. Port
Na początku powinniśmy zmienić port z domyślnego na jakiś wysoki, tak aby pozbyć się botów (inteligenty użytkownik wykona skanowanie portów i w końcu znajdzie nasz port ale przynajmniej setki botów nie będą próbowały się zalogować metodami bruteforce).
W /etc/ssh/sshd_config zmieniamy:
2. Wyłączamy dostęp do konta root
Atakujący najczęściej zaczyna od konta root ponieważ istnieje ono w każdym systemie.
Warto wyłączyć możliwość logowania się na konto root z poziomu SSH i przejść na logowanie na konto użytkownika i konta użytkownika na konto root.
/etc/ssh/sshd_config:
3. Puste hasła
Jeżeli posiadamy w systemie konta bez haseł, konieczne jest wyłączenie logowania bez podawania hasła w serwerze OpenSSH.
/etc/ssh/sshd_config
4. Wyłączenie dziurawych protokołów
Warto wyłączyć pozostałe protokoły na rzecz SSHv2 który jest najbezpieczniejszy.
5. Blokowanie adresów IP po wpisaniu błędnego hasła
Denyhosts oraz fail2ban to programy służące do automatycznego banowania adresów IP które wpisały hasło 3 razy pod rząd źle.
Tego typu mechanizm powinien podwyższyć bezpieczeństwo nawet o 150%, w zasadzie po jego zainstalowaniu nie trzeba już obawiać ataków typu bruteforce.
Po instalacji denyhosts mamy do dyspozycji prostą konfigurację:
Należy pamiętać także aby dodać do startu systemu denyhosts, tak aby zawsze czuwało nad naszym serwerem SSH
Zawsze należy pamiętać, że niema oprogramowania bez dziur dlatego przez najmniejszy błąd intruz może obalić nasze wszystkie zabezpieczenia razem wzięte
-- WebNuLL
1. Port
Na początku powinniśmy zmienić port z domyślnego na jakiś wysoki, tak aby pozbyć się botów (inteligenty użytkownik wykona skanowanie portów i w końcu znajdzie nasz port ale przynajmniej setki botów nie będą próbowały się zalogować metodami bruteforce).
W /etc/ssh/sshd_config zmieniamy:
Kod:
Port 81232. Wyłączamy dostęp do konta root
Atakujący najczęściej zaczyna od konta root ponieważ istnieje ono w każdym systemie.
Warto wyłączyć możliwość logowania się na konto root z poziomu SSH i przejść na logowanie na konto użytkownika i konta użytkownika na konto root.
/etc/ssh/sshd_config:
Kod:
PermitRootLogin no3. Puste hasła
Jeżeli posiadamy w systemie konta bez haseł, konieczne jest wyłączenie logowania bez podawania hasła w serwerze OpenSSH.
/etc/ssh/sshd_config
Kod:
PermitEmptyPasswords no4. Wyłączenie dziurawych protokołów
Warto wyłączyć pozostałe protokoły na rzecz SSHv2 który jest najbezpieczniejszy.
Kod:
Protocol 25. Blokowanie adresów IP po wpisaniu błędnego hasła
Denyhosts oraz fail2ban to programy służące do automatycznego banowania adresów IP które wpisały hasło 3 razy pod rząd źle.
Tego typu mechanizm powinien podwyższyć bezpieczeństwo nawet o 150%, w zasadzie po jego zainstalowaniu nie trzeba już obawiać ataków typu bruteforce.
Po instalacji denyhosts mamy do dyspozycji prostą konfigurację:
- /etc/hosts.allow - tutaj dopisujemy wyjątki, np. nasz komputer
- /etc/hosts.deny - zablokowane adresy IP, dopisywane są automatycznie ale można także i ręcznie dodawać
Należy pamiętać także aby dodać do startu systemu denyhosts, tak aby zawsze czuwało nad naszym serwerem SSH
Zawsze należy pamiętać, że niema oprogramowania bez dziur dlatego przez najmniejszy błąd intruz może obalić nasze wszystkie zabezpieczenia razem wzięte
-- WebNuLL
