SSHD_CONFIG

SSH (SSHD_CONFIG)

guimpel

Maior segurança no SSH

Categoria: Segurança

Software: SSH

[ Hits: 19.672 ]

Por: guimpel

0 0

Denuncie Favoritos Indicar

Sempre tenho inumeras tentativas de Brute force e achei informações que me ajudaram a melhorar a proteção da minha conexão ssh, pois no meu trabalho ela e imprescindivel.

Port 22
# Aceita conexão somente do protocolo 2
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 3600
# o valor default da chave e de 768 bits, passe para 1024
ServerKeyBits 1024

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:
# Define o tempo maximo de tentativas de conexão
LoginGraceTime 30

# Não permita ao usuario root conectar
PermitRootLogin no

#
StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# rhosts authentication should not be used
#RhostsAuthentication no
#Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
#For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
#similar for protocol version 2
#HostbasedAuthentication no
#Change to yes if you don't trust ~/.ssh/known_hosts for
#RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no

# To disable tunneled clear text passwords, change to no here!

# solicita a todos a utilização de senha
PasswordAuthentication yes
# Não permite usuarios sem senha
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

#AFSTokenPassing no

# Kerberos TGT Passing only works with the AFS kaserver
#KerberosTgtPassing no

# Set this to 'yes' to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt no

#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes

# Desta forma ele rejeita 80% das tentativas de conexões que passarem do limite de 05 ate alcançar no maximo 10 conexões
MaxStartups 5:80:10

# no default banner path
#Banner /some/path
#VerifyReverseMapping yes

Subsystem       sftp    /usr/libexec/sftp-server

Comentários

[1] Comentário enviado por butters em 27/03/2006 - 14:50h

Olá ... uma boa opção tbem é vc mudar a porta 22 para 222 ... isso acaba com 99,99% das tentativas de invasões. ...

Abraços

0 0

[2] Comentário enviado por agk em 30/03/2006 - 14:01h

Outra boa opção é você restringir quem pode ter acesso ao seu servidor ssh, restringindo os endereços Ip's que teram acesso ou não a ele.
Isso reduz bastante as tentativas de acesso. Tem várias formas de fazer isso, pelo hosts.deny, iptables, talvez até pelo próprio ssh.
Valeu, boa dica.

0 0

[3] Comentário enviado por guimpel em 01/04/2006 - 04:08h

#TO: butters e agk
Geralmente quem efetua este tipo de ataque verica a resposta do servidor se existe o sshd instalado e qual a porta usada, e na sua outra opção qual administrador de rede não tem de parar no meio da viagem para se conectar no(s) servidor(es) que administra.

Neste .conf falta apenas adicionar a linha
allowuser (nome do usuario preferencialmente codificado que podera acessar o ssh )

EX:
allowuser $$dfrW90
#apos logar use o comando SU para se tornar root

e use um script para bloquear tentativas de conexão com erro de string mais ai e outra historia...

Suas dicas são boas mais não suficientes, pensem em Custo X Beneficio

valeu!

0 0