Jump to content
Sign in to follow this  
IonuT

Securizare server SSH pe masinile LINUX !

Recommended Posts

BE0FL3e.png


 


 


Tutorial securitate server SSH pe masina LINUX. Fa-ti serverul mai putin vulnerabil la atacurile hackerilor.

 

SSH Protocol 2

 

Verifica daca exista urmatoarea linie in /etc/sshd/sshd_config



Protocol 2


 

 

Limiteaza accesul userilor la SSH

 

Implicit, toti utilizatorii de pe un server linux se pot conecta prin SSH cu parola lor sau o cheie publica.

Chiar daca creezi utilizatori pentru mail sau ftp, acestia pot avea acces prin ssh la serverul linux.

 

Pentru a accepta doar anumiti utilizatori sa se conecteze prin SSH la server, modifica lina urmatoare in fisierul /etc/sshd/sshd_config



AllowUsers root virgil


 

Sau poti accepta toti utilizatorii sa se conecteza, mai putin anumiti useri:



DenyUsers alex marius


 

Configureaza timpul de deconectare pentru o sesiune inactiva

 

Tot in sshd_config modifica urmatoarele linii dupa plac:



ClientAliveInterval 600
ClientAliveCountMax 0


 

Timpul este specificat in secunde. Pentru linia de mai sus, 600 inseamna 10 minute.

 

Dezactiveaza fisierele .rhosts

 

Urmatoarea linie din sshd_config daca este activata, face ca serverul sa ignore fisierele .rshosts si .shosts with the following settings:



IgnoreRhosts yes


Dezactiveaza autentificarea bazata pe Host

 

Ca sa dezactivezi autentificarea bazata pe host, modifica /etc/sshd/sshd_config:



HostbasedAuthentication no


 

[ad name=”v1″]

 

Dezactiveaza autentificarea root

 

Ca sa diminiuezi riscul ca cineva strain sa capete acces prin SSH la serverul tau, este indicat sa dezactivezi logarea utilizatorului root.

Utilizatorii pot capata drept de root prin comanda su

 

Pentru dezactivare :

 

PermitRootLogin no

 

Schimba portul SSH si adresa IP

 

SSH asculta pe toate interfetele si IPurile din sistem. Este o idee buna sa schimbam portul 22, care este implicit cu oricare altul, de exemplu 322.



Port 322
ListenAddress x.x.x.x
ListenAddress y.y.y.y


 

Utilizeaza parole complicate

 

Este recomandat sa folosesti parole cat mai complicate in cazul in care cineva incearca sa capete acces la serverul tau prin “brute-force”

 

Dezactiveaza parolele goale



PermitEmptyPasswords no


 

Limiteaza rata de conectare la server

 

Exemplu Iptables care va face DROP la conexiunile care incearca sa se conecteze de mai mult de 5 ori in 1 minut

 

drop incoming connections which make more than 5 connection attempts upon port 22 within 60 seconds:



#!/bin/bash
inet_if=eth0
ssh_port=22
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –set
$IPT -I INPUT -p tcp –dport ${ssh_port} -i ${inet_if} -m state –state NEW -m recent –update –seconds 60 –hitcount 5 -j DROP


 

Verifica LOG-urile

 

Asigura-te ca nivelul de raportare este pe INFO in sshd_config:



LogLevel INFO


 

[ad name=”v1″]

 

 

 

 

 

SURSAcyberciti.net

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×