Aumentando a segurança do seu servidor SSH

Publicado por Ricardo Vasconcellos em 09/02/2010

[ Hits: 10.168 ]

Blog: http://www.vivaolinux.com.br/~qxada07

 


Aumentando a segurança do seu servidor SSH



Logo abaixo falarei sobre alguns parâmetros que podemos alterar para aumentarmos a segurança do seu servidor SSH.

As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.

Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:

AllowUsers qxada root

Através da sintaxe acima somente os usuários qxada e root poderão logar.

Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.

DenyUsers qxada root

Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".

AllowTcpForwarding no

Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.

X11Forwarding no

Bloquear acesso via root no servidor:

PermitRootLogin no

Bloquear login sem senha:

PermitEmptyPasswords no

Para que o servidor não tente resolver o nome do usuário que está tentando conectar:

VerifyReverseMapping no

Outras dicas deste autor

PHP4 + HTTPD2

Recuperando / Protegendo senha de ROOT no Slackware

Restringindo conexão brute force com iptables

Conhecendo mais sobre LOGs

Limpar cache da memória RAM

Leitura recomendada

Como instalar o htop no CentOS

Instalando o Debian a partir do próprio Debian

Servidores e estações Debian Etch Linux sincronizando horário com a "Hora Legal Brasileira"

Instalando Modem 3G no Mandriva

Usando o dicionário ispell

  

Comentários
[1] Comentário enviado por rogeriojlle em 09/02/2010 - 08:56h

não sei do que se trata o item:

---- Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
---- VerifyReverseMapping no

que significa isso na prática?
poderia citar um exemplo de exploração dessa falha?

[2] Comentário enviado por qxada07 em 09/02/2010 - 11:42h

Esta opção serve mesmo para que o server não resolva o nome do ip que esta tentando conectar no server..... Com esta opção em yes ele irá tentar resolver qualquer tentativa de conexão deixando o server e a conexão muito lento, e dependendo da quantidade de tentativa o server pode até travar.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts