Precauções durante o SSH [duplicado]

Question

Precauções durante o SSH [duplicado]

#1 resposta do NlightNFotis (1 votos)
#2 resposta do david6 (1 votos)

5

Eu recentemente tive que dar minha senha de root do Ubuntu 12.10 para um dos meus amigos para que ele pudesse SSH no meu sistema e enviar alguns arquivos para mim. Agora ele é meu amigo e eu confio nele, então não fiquei relutante em compartilhar minha senha. E eu mudei depois.

Mas me surpreendeu como posso ver todos os comandos que foram executados por algum outro usuário remoto registrando em meu sistema (obviamente não meu amigo. Eu quero dizer em geral). Até que ponto eles podem acessar meus dados (especialmente meu senhas, por exemplo, eu uso o Last Pass, então eles também podem acessar minhas senhas de conta?) E se eles abrirem qualquer navegador depois de fazer login no meu sistema, eles terão acesso a todas as minhas senhas, desde que eu as tenha salvo usando a opção "lembrar senha" fornecida pelo chrome

Além disso, que precauções devo tomar quando estou permitindo que alguém faça login remoto no meu sistema e como posso rastrear os vários comandos usados por eles ou as alterações que eles fizeram no meu sistema? Também há alguma maneira simples de ser notificado sempre que alguém faz login no meu sistema além de verificar o arquivo /var/log/auth.log?

ssh password security 12.04

por Shagun Sodhani 28.08.2012 / 05:08

2 respostas

1

O SSH não é totalmente seguro em sua configuração padrão.

Se você fornecer uma senha para permitir que um usuário remoto se conecte via SSH ao computador, esses direitos precisam ser revogados para interromper o acesso contínuo.

Alterar sua senha não NÃO revoga esses direitos.

por david6 28.08.2012 / 10:51

Tags ssh password security 12.04

Como posso fazer o xfce4-volumed continuar dando notificações no Lubuntu? Remover ou desativar o java devido ao problema de segurança

score 1 · Accepted Answer

Houve um problema semelhante que me surpreendeu depois de ler esta pergunta aqui no AskUbuntu e checagem do meu VPS, apenas para ver um bazillion de tentativas de força bruta. Foi quando decidi agir.

Agora, de acordo com a pergunta a que me vinculei, se você quiser ver tentativas de login com falha em sua máquina por ssh (pode ser uma tentativa de força bruta ou qualquer outra coisa), tente digitá-la:

grep sshd.\*Failed /var/log/auth.log | less

Se a saída consistir em várias linhas, ou seja, muitas tentativas de força bruta, especialmente se tiverem ocorrido entre intervalos curtos, convém executar as seguintes ações:

Altere o arquivo de configuração do ssh

Para fazer isso, abra o arquivo localizado em / etc / ssh / sshd_config com seu editor favorito, como este vim /etc/ssh/sshd_config .

1. Tente mover o ssh da porta 22 : Agora localize a linha que diz:

# What ports, IPs and protocols we listen for
Port 22

e comente a Port 22, e use qualquer um que você goste. Exemplo:

# What ports, IPs and protocols we listen for
# Port 22
Port 28934

Please remember that ports below 1024 need special (root) permission. Não sei como isso pode interferir, mas estou apenas dizendo.

2. Desativar logins da raiz via ssh : Como o nome de usuário root é previsível e fornece acesso completo ao sistema, fornecer acesso irrestrito a essa conta pelo SSH é insensato. Localize a linha que lê PermitRootLogin e defina como no .

PermitRootLogin no

3. Desative a autenticação por senha : Gere e use chaves SSH para efetuar login no sistema. Sem senhas ativadas, os invasores precisarão adivinhar (ou roubar) sua chave privada SSH para obter acesso ao seu servidor. Algo que é muito muito difícil. Continue para encontrar a linha que lê PasswordAuthentication e defina como não

PasswordAuthentication no

! ATENÇÃO! Antes de fazer isso, consulte este guia aqui sobre como configurar a autenticação de certificado.

OBSERVAÇÃO: Depois de fazer as alterações, use sudo /etc/init.d/ssh restart . Para se conectar a outra porta por meio do uso de ssh: ssh [email protected] -p <port_number> .

Configurar um firewall

Por favor, confira este guia sobre como configurar o firewall extremamente poderoso e eficaz, que é integrado ao Linux, IPTables .

Configurar scripts para ajudá-lo com segurança

Um que eu uso pessoalmente e rapidamente me vem à mente é Fail2Ban . O Fail2ban irá monitorar seus arquivos de log por tentativas de login com falha. Depois que um endereço IP excedeu o número máximo de tentativas de autenticação, ele será bloqueado no nível da rede e o evento será registrado em /var/log/fail2ban.log . Para instalá-lo: sudo apt-get install fail2ban

Verifique o histórico de comandos via ssh

Existe um comando linux, chamado history , que permite ver quais comandos foram inseridos até esse ponto. Tente digitar history em um terminal para ver todos os comandos até esse ponto. Poderia ajudar se você fosse root .

Para pesquisar por um comando em particular , tente: history | grep command-name

Para listar todos os comandos após ssh : fc -l ssh

Você também pode editar comandos usando o vi (não tentei usar o vim, embora eu assuma que ele também funciona): fc -e vi

Você também pode excluir o histórico : history -c

NOTA: Se você não é fã do comando history , há também um arquivo no seu diretório pessoal ( cd ~ ), chamado .bash_history ( se você estiver usando o bash), você pode cat ver tudo o que foi digitado no bash shell.