Aumentando a segurança do seu servidor SSH

Publicado por Ricardo Vasconcellos em 09/02/2010

[ Hits: 9.173 ]

Blog: http://www.vivaolinux.com.br/~qxada07

 


Aumentando a segurança do seu servidor SSH



Logo abaixo falarei sobre alguns parâmetros que podemos alterar para aumentarmos a segurança do seu servidor SSH.

As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.

Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:

AllowUsers qxada root

Através da sintaxe acima somente os usuários qxada e root poderão logar.

Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.

DenyUsers qxada root

Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".

AllowTcpForwarding no

Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.

X11Forwarding no

Bloquear acesso via root no servidor:

PermitRootLogin no

Bloquear login sem senha:

PermitEmptyPasswords no

Para que o servidor não tente resolver o nome do usuário que está tentando conectar:

VerifyReverseMapping no

Outras dicas deste autor

Conhecendo mais sobre LOGs

Recuperando / Protegendo senha de ROOT no Slackware

Restringindo conexão brute force com iptables

PHP4 + HTTPD2

Instalando Kernel 2.6.39.2 no Slackware 12

Leitura recomendada

Configuração do horário de verão 2005/2006

Colocando o XMMS no Systray

VirtualBox: editar o fstab para montar a pasta da máquina virtual compartilhada automaticamente

Compilando o Mono para atualização da versão 2.4

Problemas com o TLS do aMSN 0.95

  

Comentários
[1] Comentário enviado por rogeriojlle em 09/02/2010 - 08:56h

não sei do que se trata o item:

---- Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
---- VerifyReverseMapping no

que significa isso na prática?
poderia citar um exemplo de exploração dessa falha?

[2] Comentário enviado por qxada07 em 09/02/2010 - 11:42h

Esta opção serve mesmo para que o server não resolva o nome do ip que esta tentando conectar no server..... Com esta opção em yes ele irá tentar resolver qualquer tentativa de conexão deixando o server e a conexão muito lento, e dependendo da quantidade de tentativa o server pode até travar.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts