Защищаем ssh

Что мне угрожает? Доступ по ssh является стандартной функцией,

предназначенной для удаленной работы пользователей и администрирования удаленных систем. Однако, как и любой другой сервис, может быть использован злоумышленниками для получения доступа к системе. Если у вас работает ssh демон на каком-либо компьютере подключенном к Интернет, вы можете посмотреть последние попытки удаленного входа в систему с помощью lastb и можете быть удивленны большим количеством попыток подобрать пароль к вашей машине. Команда:

lastb | awk '{print $1}' | sort | uniq -c | sort -rn | head

отобразит количество попыток ввода неверного пароля для наиболее часто используемых логинов. #Что мне делать? Для того, что бы обеспечить высокий уровень защиты ssh сервиса от несанкционированного доступа достаточно выполнить несколько простейших операций: ##Выберите более безопасный пароль. Многие дистрибутивы (например Fedora/RedHat) устанавливают для пользователей по умолчанию политику безопасности в виде минимальной длинны и стойкости пароля, другие этого не делают. ##Установите и запустите denyhosts. Этот демон просматривает логи и в случае нескольких неправильных попыток ввода пароля блокирует доступ для ssh с атакующего ip адреса. Это является лучшим инструментом для предотвращения атак методом перебора пароля на сегодняшний день. * Для RedHat-based дистрибутивов (Feodra/CentOS) выполните:

yum install denyhosts
chkconfig denyhosts on
service denyhosts start

  • Для Debian-based дистрибутивов (Ubuntu) выполните:

    apt-get install denyhosts /etc/init.d/denyhosts start

Измените стандартный порт 22 на любой другой выше 1024. Большинство zombie

машин в автоматическом режиме сканирующие удаленные компьютеры в поисках открытых сервисов пробуют только стандартные порты. Откройте файл /etc/ssh/sshd_config и измените параметр Port:

#Port 22
Port 2222

Используйте протокол 2 SSH поддерживает два протокола. Старый протокол1 и

новый 2. Отключите протокол 1 в конфигурации sshd:

#Protocol 2,1
Protocol 2

Ограничьте пользователей, которые могут входить в систему По умолчанию ssh

открыт для входа всем пользователям в системе. Вы можете изменить этот режим используя параметры AllowUsers и AllowGroups. Так

AllowUsers john mary joe*

Разрешит вход только пользователям john, mary и пользователям, чей логин начинается на joe. А

AllowGroups sshusers

Разрешит вход только пользователям, входящим в группу sshuesers.

Размещено: 20.02.2008 17:28 Всего комментариев: 0
Автор: zeus Блог: zeus's blog
Тэги: ssh , защита , сервер , сеть

Комментарии:

Нет комментариев.

Пожалуйста войдите или зарегистрируйтесь чтобы оставлять комментарии.