Securizare server SSH pe masinile LINUX

Configurare noua (How To)

Situatie

Tutorial securitate server SSH pe masina LINUX. Fa-ti serverul mai putin vulnerabil la atacurile hackerilor.

Solutie

SSH Protocol 2

Verifica daca exista urmatoarea linie in /etc/sshd/sshd_config

Protocol 2

Limiteaza accesul userilor la SSH

Implicit, toti utilizatorii de pe un server linux se pot conecta prin SSH cu parola lor sau o cheie publica.
Chiar daca creezi utilizatori pentru mail sau ftp, acestia pot avea acces prin ssh la serverul linux.

Pentru a accepta doar anumiti utilizatori sa se conecteze prin SSH la server, modifica lina urmatoare in fisierul /etc/sshd/sshd_config


AllowUsers root virgil

Sau poti accepta toti utilizatorii sa se conecteza, mai putin anumiti useri:


DenyUsers alex marius

Configureaza timpul de deconectare pentru o sesiune inactiva

Tot in sshd_config modifica urmatoarele linii dupa plac:


ClientAliveInterval 600
ClientAliveCountMax 0

Timpul este specificat in secunde. Pentru linia de mai sus, 600 inseamna 10 minute.

Dezactiveaza fisierele .rhosts

Urmatoarea linie din sshd_config daca este activata, face ca serverul sa ignore fisierele .rshosts si .shosts with the following settings:


IgnoreRhosts yes

Dezactiveaza autentificarea bazata pe Host

Ca sa dezactivezi autentificarea bazata pe host, modifica /etc/sshd/sshd_config:


HostbasedAuthentication no

[ad name=”v1″]

Dezactiveaza autentificarea root

Ca sa diminiuezi riscul ca cineva strain sa capete acces prin SSH la serverul tau, este indicat sa dezactivezi logarea utilizatorului root.
Utilizatorii pot capata drept de root prin comanda su

Pentru dezactivare :


PermitRootLogin no

Schimba portul SSH si adresa IP

SSH asculta pe toate interfetele si IPurile din sistem. Este o idee buna sa schimbam portul 22, care este implicit cu oricare altul, de exemplu 322.


Port 322
ListenAddress x.x.x.x
ListenAddress y.y.y.y

Utilizeaza parole complicate

Este recomandat sa folosesti parole cat mai complicate in cazul in care cineva incearca sa capete acces la serverul tau prin “brute-force”

Dezactiveaza parolele goale


PermitEmptyPasswords no

Limiteaza rata de conectare la server

Exemplu Iptables care va face DROP la conexiunile care incearca sa se conecteze de mai mult de 5 ori in 1 minut

drop incoming connections which make more than 5 connection attempts upon port 22 within 60 seconds:

#!/bin/bash
inet_if=eth0
ssh_port=22
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –set
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –update –seconds 60 –hitcount 5 -j DROP

Verifica LOG-urile

Asigura-te ca nivelul de raportare este pe INFO in sshd_config:


LogLevel INFO

 

Tip solutie

Permanent
Etichetare:

Voteaza

Up Down
(12 din 28 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?