Instalado e configurando SSH deixando mais seguro (Debian)

Started by remontti, 22 de December , 2008, 11:01:57 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

remontti

22 de December , 2008, 11:01:57 AM
Vamos direto a instalção pois na instalção básica do debian o ssh ñ vem instalado.

Code Select
# aptitude install ssh

Vamos as configurações, a ideía é mudar a porta do ssh e definir apenas um único usuário para conexão.

Code Select
# vim /etc/ssh/sshd_config

Aletere as seguintes linhas:

Port 55222 # Aqui vai o numero da porta

ServerKeyBits 1024 # Melhorando a qualidade da conexão

LoginGraceTime 20 # Tempo que o usuario tem para fazer login
PermitRootLogin no # Não permita q o usur root se conecte

Addicione a linha:
AllowUsers usuariodossh # Apenas este user irá conseguir conectar-se via ssh por mais que exita outros users.

Restarte o serviço:
Code Select
/etc/init.d/ssh restart

Pronto!
Code Select
ssh usuariodossh@seuip -p 55222

Agora sua porta de conexão sera 55222, para conectar, terminou? Não!!!

Que tal enganar um pouco!

No seu firewall coloque a seguinte linha:

# Engana bobo
iptables -A INPUT -p tcp --dport 22 -j DROP

Assim no momento q vc for scanear um ip a porta 22 ira aparecer q esta filtrada.

Instale o nmpa (aptitude install nmap) para fazer os teste:

Code Select
nmap localhost
Not shown: 1674 closed ports
PORT     STATE    SERVICE
22/tcp   filtered ssh


Assim vai enganar legal.

Suficiente? Seguro? Não! :D

Se vc tem um ip fixo e ira acessar esta maquina apenas deste ip, recomendo configurar nos hosts para bloquear o serviço do ssh e liberar apenas p/ seu ip. Vamos lá:

Code Select
vim /etc/hosts.deny
Adicione:
sshd: ALL

Code Select
vim /etc/hosts.allow
Adicione:
sshd: 192.168.0.0/24 # Ip da rede local
sshd: 200.100.100.100 # ip valido

Neste caso adicionei o ip da rede local, e o valido para, fora isso ninguem mais vai acessar, mesmo q saiba a porta e a senha, e tudo mais.

Agora sim acredito q estamos mais seguro, pelo menos tenho praticamente em todos os serves estas conf, e ate hj nao sofri nenhum ataque.  :P

Isso ae!

Abraço e qlqr sugestões postem ai!!!

kohx

#1
22 de December , 2008, 03:12:42 PM
Boa!

E topicos assim que na minha opiniao ainda DEIXA VIVA ESTA COMUNIDADE!

Obrigado por contribuir!  ;)


Flw  :)

Reeves

#2
24 de December , 2008, 10:25:17 AM
Muito bom remontti!

com isso ai já fica bem melhor...

mas eu ainda prefiro port knocking!
pq pensa... vc ta na praia... vai em uma lan house...
imgina o trampo para por o ip externo da lan house no seu host.allow!
com o knock vc bate na sequencia de portas certas que ele executa o comando que quiser
tá tá... tecnica véia... mas mto boaaa!

vlw sua colaboração!


é sempre bem vindo e... Feliz Natal!  :P
  °vº   NÃO USE DROGAS,
/(_)\  USE GNU/LINUX
^ ^

remontti

#3
24 de December , 2008, 11:03:20 AM
Se eu estiver na praia os funcionarios q se fodam!  ;D ;D ;D ;D
mas eu ainda tenho server q nem tem essas porra, simpliemte uma senha de 47 caracteres, com %#$* letras maiusculas e minusculas AIUhAIUAHIAU

Alguém ai quer o ip?
:P

Feliz Natal! hou hou hou
Print
Go Up Pages1
User actions