Защищаем ssh
Что мне угрожает?
Доступ по ssh является стандартной функцией, предназначенной для удаленной работы пользователей и администрирования удаленных систем. Однако, как и любой другой сервис, может быть использован злоумышленниками для получения доступа к системе.
Если у вас работает ssh демон на каком-либо компьютере подключенном к Интернет, вы можете посмотреть последние попытки удаленного входа в систему с помощью lastb и можете быть удивленны большим количеством попыток подобрать пароль к вашей машине. Команда:
lastb | awk '{print $1}' | sort | uniq -c | sort -rn | head
отобразит количество попыток ввода неверного пароля для наиболее часто используемых логинов.
Что мне делать?
Для того, что бы обеспечить высокий уровень защиты ssh сервиса от несанкционированного доступа достаточно выполнить несколько простейших операций:
Выберите более безопасный пароль.
Многие дистрибутивы (например Fedora/RedHat) устанавливают для пользователей по умолчанию политику безопасности в виде минимальной длинны и стойкости пароля, другие этого не делают.
Установите и запустите denyhosts.
Этот демон просматривает логи и в случае нескольких неправильных попыток ввода пароля блокирует доступ для ssh с атакующего ip адреса. Это является лучшим инструментом для предотвращения атак методом перебора пароля на сегодняшний день.
- Для RedHat-based дистрибутивов (Feodra/CentOS) выполните:
yum install denyhosts chkconfig denyhosts on service denyhosts start
- Для Debian-based дистрибутивов (Ubuntu) выполните:
apt-get install denyhosts /etc/init.d/denyhosts start
Измените стандартный порт 22 на любой другой выше 1024.
Большинство zombie машин в автоматическом режиме сканирующие удаленные компьютеры в поисках открытых сервисов пробуют только стандартные порты. Откройте файл /etc/ssh/sshd_config и измените параметр Port:
#Port 22 Port 2222
Используйте протокол 2
SSH поддерживает два протокола. Старый протокол1 и новый 2. Отключите протокол 1 в конфигурации sshd:
#Protocol 2,1 Protocol 2
Ограничьте пользователей, которые могут входить в систему
По умолчанию ssh открыт для входа всем пользователям в системе. Вы можете изменить этот режим используя параметры AllowUsers и AllowGroups. Так
AllowUsers john mary joe*
Разрешит вход только пользователям john, mary и пользователям, чей логин начинается на joe. А
AllowGroups sshusers
Разрешит вход только пользователям, входящим в группу sshuesers.
- zeus's blog
- Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
- 6852 просмотра
Комментарии
Благодарю!
Кое что новое узнал, спасиб!
а как создать нового
а как создать нового пользователя? Чтобы запретить пользователю root входить?
а как создать нового
man useradd
По другому порту не пускает
Спасибо.
По другому порту не пускает Putty time out говорит :(
А еще у вновь созданный пользователь не может выполнять всякие ssh команды такие: userdel. Как сделать чтобы новый пользователь мог через ssh работать?
Как сделать чтобы новый пользователь мог через ssh работать?
Думаю добавить пользователя в группу sshusers и wheel,а так же открыть порт в iptables для ssh.