Considerações de segurança ao executar um servidor SSH

3

Estou tentando configurar um servidor SSH que eu possa acessar na minha rede doméstica somente , não na Internet.

Ele está executando o Ubuntu Linux.

Instalei o pacote ssh e posso iniciar / parar o servidor SSH e, em seguida, continuar a fazer login no computador a partir da minha outra máquina, que está na mesma rede.

No entanto, antes de continuar, quais considerações de segurança devo seguir? Excluindo o óbvio de definir uma senha segura.

Também estou preocupado: se alguém descobrir o IP do servidor, eles poderão se conectar a ele? Como posso desabilitar conexões que não são de 192.168.*.* ?

    
por Aber Kled 16.08.2013 / 15:23

2 respostas

2

Você pode usar o UFW (firewall descomplicado) para abrir a porta 22 (SSH) somente para determinados endereços IP.

Seria algo como:

$ sudo ufw allow from 192.168.0.0/24 to any port 22 proto tcp

O bit 192.168.0.0/24 significa o intervalo de endereços IP 192.168.0.* - ou seja, 192.168.0.1 a 192.168.0.255 inclusive.

Para detalhes, consulte os documentos do UFW .

    
por 16.08.2013 / 15:45
1

However, before proceeding any further, which security considerations should I take? Excluding the obvious one of setting a secure password.

As chaves são mais seguras do que as senhas, especialmente se a frase secreta for protegida.

Outras coisas (a maioria é definida no arquivo de configuração):

Coisas que são sempre uma boa ideia:

  • Não permitir que o root faça o login diretamente (você sempre pode su ou sudo )

  • Desative todos os recursos que você não precisará em /etc/ssh/sshd_config , como encaminhamento, etc.

  • Não tem sshd em execução quando você não precisa dele.

Coisas para impedir o acesso à Internet ao seu sshd

  • Bloqueie a porta 22 no firewall do seu roteador, se possível. Além disso, imponha isso com uma regra iptables ou ufw como sugerido por @Greg Hendershott.

  • /etc/hosts_allow controla quais IPs podem acessar o servidor e você pode incluir linhas que negam intervalos de IP.

Se mais tarde você o expuser à Internet:

  • Altere a porta de 22 para outra, se possível. Não adicionará nenhuma segurança real, mas reduzirá os ataques aleatórios.

  • Desative o banner SSH ou altere-o para algo que não o identifique (você deseja fazer isso APÓS o login ser concluído).

  • Instale algo como fail2ban que bloqueia automaticamente os IPs que fazem muitos logins com falha.

  • Aceite apenas SSHv2, as versões anteriores têm vulnerabilidades, se não me engano. Eu acho que isso é definido por padrão.

por 16.08.2013 / 15:58