Jump to content
anndrey

Securizarea conexiunii SSH

By anndrey, in Tutoriale in romana

Recommended Posts

anndrey Newbie

anndrey

Posted
Posted (edited)

Fisierul de configurare al SSH se afla il gasiti aici /etc/ssh/sshd_config.

1. Creare user de login.

Se creaza un user pe server folosind litere mari, mici si numere pentru evitarea dictionarelor si o parola cat mai complexa. Exemplu eT40Pkh2. Acestui user nu i se vor da drepturi pe server.

2. Dezactivare root login.

Se cauta parametrul PermitRootLogin. Daca e comentat, se decomenteaza sau daca lipseste se adauga si se se seteaza no:

PermitRootLogin no

3. Se activeaza AllowUsers

Acest parametru permite logarea prin SSH doar userilor care sunt trecuti in acest parametru. Se cauta parametrul AllowUsers. Daca e comentat, se decomenteaza sau daca lipseste se adauga si se adauga userul in dreptul parametrului.

AllowUsers eT40Pkh2

sau varianta cu mai multi useri:

AllowUsers eT40Pkh2 user2 user3

4. Schimbarea portului.

Se schimba portul pe unul care nu este folosit. Exemplu 45753. Se cauta parametrul Port. Daca e comentat, se decomenteaza sau daca lipseste se adauga si se schimba 22 cu portul dorit.

Port 45753

5. Setare timeout

Se cauta parametrul ClientAliveInterval si ClientAliveCountMax. Daca sunt comentate, se decomenteaza sau daca lipsesc se adauga si se seteaza intervalul in secunde la ClientAliveInterval. Ex. 900 (15 min). Si si ClientAliveCountMax 0

ClientAliveInterval 900
ClientAliveCountMax 0

6. Instalare fail2ban

Fail2ban este un tool care baneaza IP-urile care incearca sa se logheze prin SSH cu user/pass gresite.

In functie de distributie:

sudo apt-get install fail2ban
sau
sudo yum install fail2ban

Se seteaza in /etc/fail2ban/jail.conf

bantime  = 600
maxretry = 3

(sau cum le doriti)

/etc/init.d/fail2ban restart
/etc/init.d/sshd restart

Imbunatatiri se mai pot aduce dar acestea sunt setarile pe care le consider must have. Daca considera cineva ca am omis un "must have" e liber sa isi aduca contributia.

Logarea pe server se va face in felul urmator: 

ssh eT40Pkh2@serverip -p45753

Edited by anndrey
wdw Newbie

wdw

Posted
Posted (edited)

Bune sfaturi. Îns?...

1. la pasul 2, se comenteaza linia respectiva sau se seteaza no

2. ar trebui sa se foloseasc? certificate, nu parole

3. schimbarea portului nu e o idee (chiar) buna (si in general, toate practicile de tip „security through obscurity„) - vezi aici de ce ?i ce practici alternative se recomand?.

Edited by wdw
formatare

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...