Artigo retirado do site Dicas-L da Unicamp
Colaboração: Matheus Lamberti de Abreu
Devido o ssh em sua porta padrão ser alvo de ataques de brute-force abaixo segue alguns itens de configuração para o sshd_config que melhoram a segurança e diminuem a incidência dos ataques. Os itens a serem modificados são:
Port 2222
Mudando a porta os 'robozinhos' de brute-force já vão demorar mais para descobrir você
ListenAddress 192.168.1.1
Faça com que o sshd ouça somente na sua interface interna, fazendo depois um 'forward' da porta 2222 (por exemplo) para sua interface interna
LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
MaxAuthTries 2
Essas quatro opções vão diminuir o número de tentativas que o atacante poderá ter, além de cortar a conexão caso não seja digitado nada em 1 min.
PermitTunnel no
Evita que seja criados tuneis ssl
MaxStartups 5:80:10
Aqui está o pulo do gato, após 5 sessões não autenticadas 80% das conexões do IP são recusadas e quando o número de sessões não autenticadas chegar a 10 todas as tentativas de conexões do IP serão recusadas.
Colaboração: Matheus Lamberti de Abreu
Devido o ssh em sua porta padrão ser alvo de ataques de brute-force abaixo segue alguns itens de configuração para o sshd_config que melhoram a segurança e diminuem a incidência dos ataques. Os itens a serem modificados são:
Port 2222
Mudando a porta os 'robozinhos' de brute-force já vão demorar mais para descobrir você
ListenAddress 192.168.1.1
Faça com que o sshd ouça somente na sua interface interna, fazendo depois um 'forward' da porta 2222 (por exemplo) para sua interface interna
LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
MaxAuthTries 2
Essas quatro opções vão diminuir o número de tentativas que o atacante poderá ter, além de cortar a conexão caso não seja digitado nada em 1 min.
PermitTunnel no
Evita que seja criados tuneis ssl
MaxStartups 5:80:10
Aqui está o pulo do gato, após 5 sessões não autenticadas 80% das conexões do IP são recusadas e quando o número de sessões não autenticadas chegar a 10 todas as tentativas de conexões do IP serão recusadas.
Seja Membro Gratuítamente
Assine a newsletter para receber em seu email as publicações atualizadas neste blog