Aumentando a segurança do seu servidor SSH

Publicado por Ricardo Vasconcellos em 09/02/2010

[ Hits: 10.194 ]

Blog: http://www.vivaolinux.com.br/~qxada07

0 0

Denuncie Favoritos Indicar Impressora

Aumentando a segurança do seu servidor SSH

Logo abaixo falarei sobre alguns parâmetros que podemos alterar para aumentarmos a segurança do seu servidor SSH.

As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.

Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:

AllowUsers qxada root

Através da sintaxe acima somente os usuários qxada e root poderão logar.

Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.

DenyUsers qxada root

Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".

AllowTcpForwarding no

Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.

X11Forwarding no

Bloquear acesso via root no servidor:

PermitRootLogin no

Bloquear login sem senha:

PermitEmptyPasswords no

Para que o servidor não tente resolver o nome do usuário que está tentando conectar:

VerifyReverseMapping no

Outras dicas deste autor

Restringindo conexão brute force com iptables

Limpar cache da memória RAM

Instalando Kernel 2.6.39.2 no Slackware 12

Conhecendo mais sobre LOGs

PHP4 + HTTPD2

Leitura recomendada

Resolvendo problemas com atualizações e instalações via apt-get no Ubuntu

Fedora Directory Server

Comandos aceitos no Basic Linux

Xubuntu + LXDE

Arch Linux - como instalar kernel LTS e usar múltiplos kernels

Comentários

[1] Comentário enviado por rogeriojlle em 09/02/2010 - 08:56h

não sei do que se trata o item:

---- Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
---- VerifyReverseMapping no

que significa isso na prática?
poderia citar um exemplo de exploração dessa falha?

0 0

[2] Comentário enviado por qxada07 em 09/02/2010 - 11:42h

Esta opção serve mesmo para que o server não resolva o nome do ip que esta tentando conectar no server..... Com esta opção em yes ele irá tentar resolver qualquer tentativa de conexão deixando o server e a conexão muito lento, e dependendo da quantidade de tentativa o server pode até travar.

0 0