Pentru că întotdeauna paza bună trece primejdia rea și-ți face somnul mai ușor… m-am gândit să pun câteva mici sfaturi, de bun simț, pentru cei care administrează servere OpenSSH.
În principiu, fișierul de configurare în care se află setările de bază este sshd_config și se găsește în directorul /etc/ssh/
Primul lucru care trebuie evitat este accesul utilizatorului root. Pentru conexiunile prin ssh faceți un utilizator cu drepturi cât mai puține dar cu o parolă cât mai complexă.
Acest lucru se face prin modificarea parametrului PermitRootLogin
PermitRootLogin no
și eventual restricționarea accesului ssh doar la utilizatorul specificat
AllowUsers utilizator_1
Apoi, e foarte bine dacă schimbați portul pe care se fac conexiunile SSH, astfel, evitați mai mult de 50% din atacurile automate de tip brute-force.
Port 10666
În cazul în care serverul are mai multe plăci de rețea, cu mai multe adrese IP, e bine să specificați o adresă (preferabil cea internă, dacă este posibil) pe care vor fi acceptate conexiunile SSH:
ListenAddress 192.168.1.1
Reduceți timpul de așteptare a conectării. În configurația implicită, serverul de SSH așteaptă 2 minute introducerea unui utilizator și a unei parole. E indicată reducerea acestui interval. 30 de secunde sunt de cele mai multe ori suficiente.
LoginGraceTime 30
Colectați cât mai multe date despre ce s-a întâmplat în timpul conexiunii
LogLevel VERBOSE
Folosiți chei criptate pentru conexiune. Acest lucru va evita necesitatea trimiterii scrierii parolei (scăpați de eventuale keylogger-e) și este de asemenea metoda cea mai sigură atunci când vă conectați prin rețelele radio de prin locurile publice.
AuthorizedKeysFile %h/.ssh/authorized_keys
După modificarea oricărui parametru din fișierul de configurare, este necesară repornirea serviciului SSH, de obicei acest lucru se face cu comanda:
$/etc/init.d/sshd restart
Nu în ultimul rând, este utilă folosirea pe server de programe ca denyhosts sau fail2ban care să blocheze accesul ip-urilor care încearcă de mai multe ori conexiunea cu date incorecte.
Sunt și multe alte metode de sporire a securității, acestea sunt însă cele mai la îndemână. Apoi, fiecare e liber să folosească orice alte unelte și/sau combinații de aplicații.
Leave a Reply