Remove informações de identificação do SSH

1

Quando faço um nmap -sV 127.0.0.1 -p 22 do meu sistema, recebo as seguintes informações:

Porta SF-TCP22: V = 4,62% I = 7% D = 11/9% Tempo = 4916402C% P = i686-pc-linux-gnu% r (NULL, 2   SF: 7, "SSH-2.0-OpenSSH_5.1p1 \ x20Debian-3ubuntu1 \ r \ n");

Como faço para encadear essas duas informações? i686-pc-linux-gnu e SSH-2\.0-OpenSSH_5\.1p1\x20Debian-3ubuntu1 .

    
por Rook 26.04.2010 / 22:56

3 respostas

1

Acho que tentar remover o cabeçalho não é a melhor maneira de adicionar um pouco de segurança aqui. Tudo o que realmente seria é segurança através da obsessão que não chega a tanto.

Em vez disso, eu sugiro que você olhe para bater no porto. É descrito para o Linux neste artigo . Eu acho que o seu lado paranoico ficará satisfeito com isso. Basicamente, uma varredura mostraria a porta como fechada, a menos que o scanner tentasse verificar certas portas em uma determinada ordem (uma falha secreta, por assim dizer).

Você também pode bloquear pessoas que exibem um comportamento de verificação que algumas das soluções mencionadas neste serverfault post .

    
por 27.04.2010 / 00:39
2

Você não pode removê-lo (facilmente / com segurança), ele faz parte do protocolo SSH e é usado para determinar qual versão do SSH é suportada pelo sshd e deve ser deixada onde está. Dito isso, você pode usar seu editor hexadecimal favorito para alterar a sequência para outra sequência de comprimento igual. Você precisará de pelo menos: SSH-2.0 present. Eu realmente não recomendo que você faça isso, você irá quebrar a soma de verificação do seu sshd e ele será substituído sempre que você atualizar seu pacote sshd. Mais uma vez, mudá-lo não conseguirá nada.

O telnet na porta 22 também revelará esta informação:

$ telnet localhost 22
Trying ::1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu3
    
por 26.04.2010 / 23:20
-1

O NMAP determina essa informação com base em uma certa quantidade de adivinhação. Se o seu SSHD responder a um teste do NMAP de forma alguma , o NMAP verificará essa resposta em relação ao banco de dados e tentará adivinhar qual sistema está sendo executado.

As sondas são bem sofisticadas; por exemplo, pode tentar várias variações de iniciar uma conexão SSH em uma porta, para ver quais versões são reconhecidas. Pode tentar provocar uma mensagem de erro ou apenas verificar o ecrã "olá".

A maneira mais segura de bloquear os probes do NMAP é simplesmente bloquear todos os probes do NMAP no firewall e os servidores de listagem em branco que são permitidos para o SSH em suas máquinas.

    
por 26.04.2010 / 23:18

Tags