Aumentando a segurança do seu servidor SSH
Dica publicada em Linux / Introdução
Aumentando a segurança do seu servidor SSH
Logo abaixo falarei sobre alguns parâmetros que podemos alterar para aumentarmos a segurança do seu servidor SSH.
As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.
Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:
Através da sintaxe acima somente os usuários qxada e root poderão logar.
Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.
Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".
Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.
Bloquear acesso via root no servidor:
Bloquear login sem senha:
Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.
Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:
AllowUsers qxada root
Através da sintaxe acima somente os usuários qxada e root poderão logar.
Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.
DenyUsers qxada root
Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".
AllowTcpForwarding no
Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.
X11Forwarding no
Bloquear acesso via root no servidor:
PermitRootLogin no
Bloquear login sem senha:
PermitEmptyPasswords no
Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
VerifyReverseMapping no
---- Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
---- VerifyReverseMapping no
que significa isso na prática?
poderia citar um exemplo de exploração dessa falha?