Sfaturi pentru securizarea serverelor SSH

Pentru că întotdeauna paza bună trece primejdia rea și-ți face somnul mai ușor… m-am gândit să pun câteva mici sfaturi, de bun simț, pentru cei care administrează servere OpenSSH.

În principiu, fișierul de configurare în care se află setările de bază este sshd_config și se găsește în directorul /etc/ssh/

Primul lucru care trebuie evitat este accesul utilizatorului root. Pentru conexiunile prin ssh faceți un utilizator cu drepturi cât mai puține dar cu o parolă cât mai complexă.
Acest lucru se face prin modificarea parametrului PermitRootLogin

 PermitRootLogin no 

și eventual restricționarea accesului ssh doar la utilizatorul specificat

AllowUsers utilizator_1 

Apoi, e foarte bine dacă schimbați portul pe care se fac conexiunile SSH, astfel, evitați mai mult de 50% din atacurile automate de tip brute-force.

Port 10666

În cazul în care serverul are mai multe plăci de rețea, cu mai multe adrese IP, e bine să specificați o adresă (preferabil cea internă, dacă este posibil) pe care vor fi acceptate conexiunile SSH:

ListenAddress 192.168.1.1

Reduceți timpul de așteptare a conectării. În configurația implicită, serverul de SSH așteaptă 2 minute introducerea unui utilizator și a unei parole. E indicată reducerea acestui interval. 30 de secunde sunt de cele mai multe ori suficiente.

LoginGraceTime 30

Colectați cât mai multe date despre ce s-a întâmplat în timpul conexiunii

LogLevel VERBOSE

Folosiți chei criptate pentru conexiune. Acest lucru va evita necesitatea trimiterii scrierii parolei (scăpați de eventuale keylogger-e) și este de asemenea metoda cea mai sigură atunci când vă conectați prin rețelele radio de prin locurile publice.

AuthorizedKeysFile     %h/.ssh/authorized_keys

După modificarea oricărui parametru din fișierul de configurare, este necesară repornirea serviciului SSH, de obicei acest lucru se face cu comanda:

$/etc/init.d/sshd restart

Nu în ultimul rând, este utilă folosirea pe server de programe ca denyhosts sau fail2ban care să blocheze accesul ip-urilor care încearcă de mai multe ori conexiunea cu date incorecte.

Sunt și multe alte metode de sporire a securității, acestea sunt însă cele mai la îndemână. Apoi, fiecare e liber să folosească orice alte unelte și/sau combinații de aplicații.


Posted

in

,

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

© Alex. Burlacu