Tutorial securitate server SSH pe masina LINUX. Fa-ti serverul mai putin vulnerabil la atacurile hackerilor.
SSH Protocol 2
Verifica daca exista urmatoarea linie in /etc/sshd/sshd_config
Protocol 2
Limiteaza accesul userilor la SSH
Implicit, toti utilizatorii de pe un server linux se pot conecta prin SSH cu parola lor sau o cheie publica.
Chiar daca creezi utilizatori pentru mail sau ftp, acestia pot avea acces prin ssh la serverul linux.
Pentru a accepta doar anumiti utilizatori sa se conecteze prin SSH la server, modifica lina urmatoare in fisierul /etc/sshd/sshd_config
AllowUsers root virgil
Sau poti accepta toti utilizatorii sa se conecteza, mai putin anumiti useri:
DenyUsers alex marius
Configureaza timpul de deconectare pentru o sesiune inactiva
Tot in sshd_config modifica urmatoarele linii dupa plac:
ClientAliveInterval 600
ClientAliveCountMax 0
Timpul este specificat in secunde. Pentru linia de mai sus, 600 inseamna 10 minute.
Dezactiveaza fisierele .rhosts
Urmatoarea linie din sshd_config daca este activata, face ca serverul sa ignore fisierele .rshosts si .shosts with the following settings:
IgnoreRhosts yes
Dezactiveaza autentificarea bazata pe Host
Ca sa dezactivezi autentificarea bazata pe host, modifica /etc/sshd/sshd_config:
HostbasedAuthentication no
[ad name=”v1″]
Dezactiveaza autentificarea root
Ca sa diminiuezi riscul ca cineva strain sa capete acces prin SSH la serverul tau, este indicat sa dezactivezi logarea utilizatorului root.
Utilizatorii pot capata drept de root prin comanda su
Pentru dezactivare :
PermitRootLogin no
Schimba portul SSH si adresa IP
SSH asculta pe toate interfetele si IPurile din sistem. Este o idee buna sa schimbam portul 22, care este implicit cu oricare altul, de exemplu 322.
Port 322
ListenAddress x.x.x.x
ListenAddress y.y.y.y
Utilizeaza parole complicate
Este recomandat sa folosesti parole cat mai complicate in cazul in care cineva incearca sa capete acces la serverul tau prin “brute-force”
Dezactiveaza parolele goale
PermitEmptyPasswords no
Limiteaza rata de conectare la server
Exemplu Iptables care va face DROP la conexiunile care incearca sa se conecteze de mai mult de 5 ori in 1 minut
drop incoming connections which make more than 5 connection attempts upon port 22 within 60 seconds:
#!/bin/bash
inet_if=eth0
ssh_port=22
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –set
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –update –seconds 60 –hitcount 5 -j DROP
Verifica LOG-urile
Asigura-te ca nivelul de raportare este pe INFO in sshd_config:
LogLevel INFO
[ad name=”v1″]
Sursa:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html