Hlavní navigace

Dvacet tipů jak zabezpečit server OpenSSH

Sdílet

Kamil Pošvic 28. 7. 2009

Asi většina z nás někdy použila nebo používá SSH pro vzdálený přístup k počítači. Na serveru Cyberciti.biz vyšel seznam dvaceti tipů jak co nejvíce zabezpečit svůj server OpenSSH. Jsou zde evergreeny jako zakázat přihlášení roota, používat silná hesla nebo změnit číslo portu. Jestliže SSH používáte, tak lze tento seznam použít i jako kontrolu, zda máte vše nastaveno co nejvíce bezpečně.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 29. 7. 2009 4:18

    Jiří J. (neregistrovaný) ---.802.cz

    Oněch „20 zásad bezpečnosti“ jsou spíše poznámky možností OpenSSH, není to žádné dvacatero, například nastavovat idle timeout u stroje, kam se přihlašuji z osobních počítačů, je blbost. Nebo login jako root, to abych citoval:

    Saying „don't login as root“ is horseshit. It stems from the days when people sniffed the first packets of sessions so logging in as yourself and su-ing decreased the chance an attacker would see the root pw, and decreast the chance you got spoofed as to your telnet host target, You'd get your password spoofed but not root's pw. Gimme a break. this is 2005 – We have ssh, used properly it's secure. used improperly none of this 1989 will make a damn bit of difference. -Bob

  • 29. 7. 2009 7:23

    Milan Keršláger (neregistrovaný) ---.228.broadband7.iol.cz

    Myšlenka, že zakázáním přihlášení roota zvýšíte bezpečnost, je naprosto zcestná. Možná to platilo v době telnetu, kdy stačilo odposlechnout počátek komunikace, ale dnes to již dávno neplatí. SSH celou komunikaci kvalitně šifruje, takže není možné odposlechnout obsah. Šlo by však na základě rytmu komunikace odhadnout, kolik a jaké klávesy asi byly stisknuty. SSH klient a server to vědí, a proto dodávají do autentizačního počátku vatu, která délku hesla i rytmus zamlží. Pokud se nepřihlásíte jako root, následně použijete příkaz „su“, který si vyžádá heslo roota. Jenže v té době již SSH klient ani server NEVĚDÍ, že zadáváte heslo. Proto nemohou mlžit přidáváním vaty a případný útočník může vhodnou analýzou podstatně zúžit množinu možných hesel. Proto to takhle NIKDY nedělejte. Nicméně samozřejmě platí, že útočník se vydá nejsnadnější cestou, takže pokud nespravujete server u BIS, takový problém vám nehrozí. Leda byste měli pro roota stupidní heslo, které podlehne slovníkovému útoku. Ale pokud je někdo takový pošetilec, zákaz přihlašování roota mu nepomůže. Je to jako visací zámek s petlicí na autě Mr. Beana.

  • 29. 7. 2009 12:38

    Sten (neregistrovaný) ---.18.broadband16.iol.cz

    Zákaz přihlašování na roota má jeden zásadní důvod. Distribuovaně prolomit heslo dnes lze (případně využít nějaké chyby) a proč útočníkovi dávat jednoduše k prolomení jedno heslo, když mu můžete ztížit život tím, že bude muset prolomit navíc i jedno jméno účtu?

    Co se týče toho zadávání hesla po su, to má dvě mouchy: útočník neví, kdy do konzole zadáváte heslo a kdy příkazy, takže tam vata není třeba, zato celkem jasně ví, kdy zadáváte heslo pro SSH, proto ta vata. Druhá věc je sudo. Vhodně nastavené a bez hesla je tak daleko lepší než jednoduché su.

  • 2. 8. 2009 21:40

    Milan Keršláger (neregistrovaný) ---.140.broadband12.iol.cz

    Nemá. Bruteforce se na kvalitní heslo nechytí (počet kombinací je příliš vysoký a počet testů za jednotku času silně limitovaný). Chcete-li bezpečnost, použijete klíč. A pokud používáte heslo, nebudete tak pošetilý, abyste vyřadil existující bezpečnostní opatření (přidávání vaty).

  • 29. 7. 2009 9:58

    Rado1 (neregistrovaný) 165.72.200.---

    jedno opodstatnenie ma. Nikto netusi [zistit to moze, ale to komplikuje automaticke kobercove nalety], ake ucty mam na servri. root je ale uplne vsade. Takze ked pojdem bruteforce utokom, vyberiem si login root-a, pretoze viem, ze taky login existuje. Naco skusat bruteforce na „john“, ked taky login na masine pravdepodobne ani nie je?

  • 3. 9. 2009 22:27

    admiral (neregistrovaný) 152.94.124.---

    to je ptakovina..jak rikal typek pred tebou…dobre heslo bruteforcem neprolomis i kdyby ses rozkrajel..navic ja jedu na vsechny rooty pres certifikat(za­heslovany)..tak­ze tudy cesta nikdy nevede..navic omezis pocet pokusu v iptables nebo nekde a proste no chance