Главная
 
npofopr.ucoz.ruПятница, 2025-07-11, 03:26:12



Приветствую Вас Гость | RSS
Главная
Меню сайта

Форма входа

Категории раздела
postfix [3]
console [2]
ssh [1]
jabber [1]
DHCP [2]
apache [4]
vhcs [1]
pptp [2]
server [7]
ftp [1]
trafic [1]
ip [1]
LDAP [1]
squid [1]
squid

Главная » Статьи » linux » ssh

Защищаем ssh

1.Сделать авторизацию по ключам.

обычно ключи(публичный и секретный) генерируются автоматически при установке ssh клиента/сервера.
на сервере в /etc/ssh/sshd_config надо добавить/изменить
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
публичный ключ клиента отправить в .ssh/authorized_keys (который находится на сервере)
если настроена аутентификация по ключам, советую отключить аутентификацию по паролю.
в /etc/ssh/sshd_config
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM no

но для не которых не всегда удобно использовать авторизацию по ключам.

2.Запуск sshd на не стандартном порту.

 /etc/ssh/sshd_config надо изменить
#Port 22
Port 2222
ПыСы не забудьте при подключении указать порт.
example: ssh -p 2222 exelens@welinux.ru

3.Использовать только Protocol 2.

в /etc/ssh/sshd_config надо изменить
#Protocol 2,1
Protocol 2

4.Использовать denyhosts.

Демон просматривает логи и в случае нескольких неправильных попыток ввода пароля блокирует доступ для ssh с атакующего ip адреса.
apt-get install denyhosts
/etc/init.d/denyhosts start
ПыСы: можно еще использовать Fail2ban

5.Запретить авторизацию root-пользователю

в /etc/ssh/sshd_config надо изменить
PermitRootLogin no

6.Запретить авторизацию по пустому паролю...

в /etc/ssh/sshd_config надо проверить!
PermitEmptyPasswords no

7.Установть пользователей/группу пользователей, которые могут входить в систему.

по пользователям:
AllowUsers user user1 user2 weuser
по группе пользователей:
AllowGroups groupuser
А также можно указать с каких адресов пользователь может входить в систему.
AllowUsers weuser@192.168.1.2

8.Использовать iptables.

A.с помощью iptables можно фильтровать соединения по ip и по mac`y
советую по mac`y так как в Linux`e сменить мак на сетевом интерфейсе не проблема.
example: ЖДУ ОТ АУДИТОРИИ.

B.также можно рубить ботов которые ломятся ежесекундно на порт.
example:

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP

iptables -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

9.Можно использовать port knocking.

К примеру: KNOCKD - Простой "port knocking" сервер. Осуществляет запуск указанной в конфигурации команды, если в пределах заданного таймаута было произведено соединение к заданной последовательности сетевых портов.
ПыСы: ставил год назад knockd...не стабильно работал!
можно выкрутится с помощью iptables и модулем recent
example: ЖДУ ОТ АУДИТОРИИ.
Категория: ssh | Добавил: npofopr (2009-07-20)
Просмотров: 1156 | Теги: SSH, linux | Рейтинг: 0.0/0 |
Всего комментариев: 0
Имя *:
Email *:
Код *:
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Поиск


Copyright MyCorp © 2025
Сделать бесплатный сайт с uCoz