Názory k článku
Pět tipů jak zabezpečit svůj SSH server

Zkuste su.

do 3000 km moze byt su-37 nad 3000 admini doporucuju b-52 :D

Mne sa zatial najviac pozdava nasledujuca kombinacia:
1) Zakazat prihlasovanie heslom a inymi divnymi sposobmi, ponechat len kluce:

PermitRootLogin no
StrictModes yes
MaxAuthTries 1
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
KerberosAuthentication no
GSSAPIAuthentication no

2) Urcit povolene loginy:

AllowUsers janko jozko ferko

3) Nastavit firewall, aby povolil len urcity pocet nadviazanych spojeni za nejaky casovy usek:

$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --set
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --update --seconds 120 --hitcount 6 -j DROP
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

Takto zabezpeceny server (a samozrejme aktualizovany) sa podla mojich skusenosti da povazovat za celkom bezpecny, co sa tyka utoku cez SSH.

Problem je, ak clovek chodi hore-dole a stale sa pripaja z inej wifi (samozrejme zo svojho stroja, resp. mobilu). Samozrejme, da sa spravit nejaky port knocking alebo mat urcenych niekolko strojov, ktore budu fungovat ako proxy, ale problem nastava, ak na server pristupuje viac roznych pouzivatelov, ktori su rozlezeni. Prave na tento pripad som pisal tie predchadzajuce body.

Ked tak rozmyslam, tak okrem sukromneho serveru u mna doma nemam ziaden iny server, na ktory by som pristupoval iba ja sam.

No, já k tomu přidávám ještě trochu "security by obscurity" a pokud má mít server SSH přístupné z Internetu, tak ho dám na nestandardní port, aby ho nenašly SSH port scannery.

„Dalším tipem je zamezení přihlášení roota přes SSH. Osobně si myslím, že to je spíše nutnost“

Prosím o přesunutí zprávičky do kategorie humor.

Použití nadávek na faktech nic nezmění, jen prozrazují nedostatek sebejistoty jejich autora.

„99% pokusů o kompromitaci ssh serverů _je_ na účet roota“

Zprávička se tvářila jako že je o bezpečnosti, ne o statistických průzkumech.

Chtěl jsem reagovat i na zbytek komentáře, kdyby to nebylo jen další plácání do větru.

Je neuvěřitelné, jak tuhý mají tyhle mýty kořínek.

Nesmysl první, blokování tzv. brute force (Denyhost a Fail2Ban):

Vzhledem k existenci překladu adres a jeho masivního zneužití pro připojení stovek domácností za jednu IP, tak touto metodou dosáhnete akorát tak toho, že se na svůj server nepřihlásíte, jelikož někdo z vaší (ze sítě, odkud se tam chcete přihlásit) sítě vám tam dělal "útok". Toto se stává zcela běžně.

Disable root login:

Nemá žádný bezpečnostní význam. Bezpečnost není založena na tom, že někdo něco neví (security by obscurity). Toho konkrétního uživatele si útočník stejně najde.

Banner: LOL

Jiný port: Opět, security by obscurity, bezpečnost se tím nezvýší (solidní free port scan vám to najde na jakémkoliv portu). Navíc si tím brutálně zkomplikujete práci a efektivně odstavíte různé skripty, co přes ssh něco někde spouštějí.

Všechny tyhle metody zajistí akorát falešný pocit sucha a bezpečí. Nic víc. "Ochrání" pouze proti slovníkovým útokům nebo proti brute force útokům na slabé heslo. Nic z toho by se nemělo používat. Jinými slovy zabrání to pouze tomu, na co by ten server měl být odolný by default.

Jediným skutečným řešením je použití buď dobrého hesla (dobré heslo je od 80bit entropie výše, což je při použití rozumné množiny stisknutelných znaků cca 16 znaků dlouhé heslo).

A úplně nejlepším řešením je samozřejmně nepoužívat přihlašování heslem, ale používat RSA klíče. To je také jedinná možná metoda, jak se přihlásit automaticky (klient ssh záměrně nepodporuje zadávání hesla na příkazové řádce) na vzdálený server (vhodné pro nějaký skript).

--

Poznámka pod čarou. Problém těchto intuitivních metod je v tom, že lidé neumí počítat a přeceňují jejich váhu a navíc si tím zkomplikují samotnou chtěnou legální práci.

Například změna portu znamená přidání max. 65536 pokusů. Ale pozor, není to 2^16 (počet portů) * 2^80 (16 znakové heslo) jak si mnozí myslí, ale součet (2^16+2^80 -- plyvnutí do moře). Stejně tak je to s tím rootem / uživatelem a su na roota. Pokud by měli oba stejně kvalitní heslo, tak: 2^80 + 2^80 = 2*2^80 = 2^81. DALEKO větší efekt má přidání pár znaků k heslu. 20 znakové heslo je cca 2^103. Přidáním 4 znaků jste najednou o 20 bitů jinde.

Takže, nekomplikujte si život používáním kravin, které stejně nefungují, místo toho udělejte pro bezpečnost daleko více lepším generováním hesel, nebo úplně nejlépe, používejte klíče.

Pak je ale potřeba napsat to správně, ne jen zlomek toho, co je potřeba udělat. Tedy: „Vytvořit účty s bezpečnými názvy (např. 20 znaků, kombinace malých a velkých písmen, číslic a symbolů), na všechny ostatní účty zakázat přihlašování, zabezpečit, aby se jména těchto bezpečných účtů nikde neprozradila (např. v e-mailu, v chybových hláškách apod.).“ Přeju hodně štěstí při realizaci.

Pokud se zakáže jen přihlášení na roota, útočník nemusí zjistit jméno toho účtu, který používá správce – může použít kterýkoli jiný účet v systému, třeba bin, daemon, ftp, apache… A i kdyby útočník potřeboval ten správcův účet, je spousta možností, kudy jeho název může uniknout – pochybuju o tom, že by někdo dokázal všechny ty možnosti zkontrolovat, problém by byl dát vůbec jen ten seznam dohromady. Třeba Ident, SMTP VRFY/EXPN, domovské stránky http://server/~user…

Ano, proti jednomu konkrétnímu typu útoku to přidat bezpečnost může. Jenže stejně tak si lze představit různé typy útoků, kdy zákaz přihlašování na roota bezpečnost naopak sníží. A myslím, že tyhle typy útoků jsou mnohem pravděpodobnější, takže ve výsledku to pravděpodobnost úspěšného útoku spíš zvyšuje.

Na to první už skvěle odpovědel Filip. Uživatelské jméno se ti v praxi nepodaří utajit. Jedině snad, že by se ten účet nepoužíval, ale potom je zcela zbytečný.

"Moje bezpečnost je založena na tom, že nikdo neví moje heslo a dvě prvočísla mého klíče."

Myslím, že víš jak jsem to myslel ;-).

Útoky zaplňují logy. Hmm, já vždycky myslel, že logy naplňuje syslog, případně démon samotný. Tak ony to jsou útoky. :-)

Ne vážně, problém s logy je třeba řešit na úrovni logů, nikoliv portů.

Kdyz jsem se díval do logu neúspěšných pokusů o přihlášení, tak většina jich byla se známými loginy (root, apache apod.). Na jiné loginy tolik pokusů nebylo, ale i tak se jim podařilo slovníkem získat můj login. Udělali pár stovek pokusů a i když bylo heslo poměrně nelmi velmi slabé, tak ho nenašli.