Aumentando a segurança do seu servidor SSH

Publicado por Ricardo Vasconcellos em 09/02/2010

[ Hits: 9.965 ]

Blog: http://www.vivaolinux.com.br/~qxada07

0 0

Denuncie Favoritos Indicar Impressora

Aumentando a segurança do seu servidor SSH

Logo abaixo falarei sobre alguns parâmetros que podemos alterar para aumentarmos a segurança do seu servidor SSH.

As configurações abaixo devem ser realizadas no arquivo de configuração do SSH, geralmente encontrado em /etc/ssh/sshd_config.

Através do parâmetro AllowUsers podemos definir quais os usuários poderão conectar no seu servidor. Exemplo:

AllowUsers qxada root

Através da sintaxe acima somente os usuários qxada e root poderão logar.

Da mesma forma que podemos liberar determinados usuários, através do parâmetro DenyUsers podemos bloquear outros. Na sintaxe abaixo os usuários qxada e root não conseguirão logar-se.

DenyUsers qxada root

Tratando-se de firewall, é recomendado bloquear qualquer tipo de roteamento a partir de uma sessão remota; para que isso aconteça, podemos definir o parâmetro AllowTcpForwarding como "no".

AllowTcpForwarding no

Em alguns casos é possível iniciar uma sessão remota com um servidor para direcionar a saída de vídeo para um host remoto. Este tipo de sessão utiliza a porta tcp 6000. Uma forma de bloquear este tipo de direcionamento é bloquear o Forward do X11.

X11Forwarding no

Bloquear acesso via root no servidor:

PermitRootLogin no

Bloquear login sem senha:

PermitEmptyPasswords no

Para que o servidor não tente resolver o nome do usuário que está tentando conectar:

VerifyReverseMapping no

Outras dicas deste autor

PHP4 + HTTPD2

Recuperando / Protegendo senha de ROOT no Slackware

Instalando Kernel 2.6.39.2 no Slackware 12

Conhecendo mais sobre LOGs

Limpar cache da memória RAM

Leitura recomendada

Tirar permissão de root para conexão SSH

Como criar um pendrive bootável

Distribuições Linux que administradores e usuários precisam conhecer

Opera Mobile no Linux

Tcptrack, um monitor de consumo de banda em tempo real

Comentários

[1] Comentário enviado por rogeriojlle em 09/02/2010 - 08:56h

não sei do que se trata o item:

---- Para que o servidor não tente resolver o nome do usuário que está tentando conectar:
---- VerifyReverseMapping no

que significa isso na prática?
poderia citar um exemplo de exploração dessa falha?

0 0

[2] Comentário enviado por qxada07 em 09/02/2010 - 11:42h

Esta opção serve mesmo para que o server não resolva o nome do ip que esta tentando conectar no server..... Com esta opção em yes ele irá tentar resolver qualquer tentativa de conexão deixando o server e a conexão muito lento, e dependendo da quantidade de tentativa o server pode até travar.

0 0