🔌 5 быстрых советов по усилению SSH — Information Security Squad

🔌 5 быстрых советов по усилению SSH

Если вы используете Secure Shell, вам нужно будет выполнить этот контрольный список из пяти быстрых советов, чтобы сделать этот сервер Linux немного более безопасным.

Если вы администратор Linux, вы, скорее всего, зависите от Secure Shell (SSH) для удаленного доступа к вашему дата-центру или другим бизнес-машинам.

По своей сути, SSH — довольно безопасный протокол.

Однако есть способы сделать его еще более безопасным.

На самом деле у меня есть пять очень быстрых советов, которые вы можете использовать, чтобы лучше «забронировать» этот SSH-сервер.

Это можно сделать всего за несколько минут.

1. Установите интервал ожидания простоя

Интервал ожидания простоя — это количество времени, в течение которого сеансу SSH разрешено сидеть без дела.

По истечении этого времени соединение разрывается.

Из коробки эта опция отключена.

Мы включим ее и установим время из пяти минут (300 секунд).

Для этого выполните команду:

sudo nano /etc/ssh/sshd_config

В этом файле поищите следующее:

#ClientAliveInterval 0

Измените это на:

ClientAliveInterval 300

Сохраните и закройте файл. Перезапустите сервер SSH с помощью команды:

sudo systemctl restart sshd

2. Отключите пустые пароли

Существуют системные учетные записи пользователей, которые создаются без паролей.

Администратор машины Linux также может создавать обычных пользователей без паролей.

Изначально SSH настроен так, что он не запрещает использование пустых паролей. Давайте это исправим.

Снова откройте файл конфигурации демона SSH с помощью команды:

sudo nano /etc/ssh/sshd_config

Найдите строку:

#PermitEmptyPasswords no

Измените ее на:

PermitEmptyPasswords no

Сохраните и закройте файл. Перезапустите сервер SSH с помощью команды:

sudo systemctl restart sshd

3. Отключите проброс X11

Если у вас есть серверы с интерфейсами GUI, или у вас есть настольные компьютеры, которые требуют использования SSH, вам, вероятно, следует отключить форвардинг X11.

Что такое проброс X11?

Это позволяет любому туннелировать приложения с графическим интерфейсом через SSH.

Последнее, что вам нужно, это чтобы злоумышленник мог легко просматривать конфиденциальную информацию через графический интерфейс или использовать эту и так небезопасную функцию.

Чтобы отключить эту функцию, снова откройте файл конфигурации демона SSH с помощью команды:

sudo nano /etc/ssh/sshd_config

Найдите строку:

X11Forwarding yes

Измените ее на:

X11Forwarding no

Сохраните и закройте файл. Перезапустите сервер SSH с помощью команды:

sudo systemctl restart sshd

4. Ограничить максимальное количество попыток аутентификации

Установив низкий порог для попыток входа в систему, вы можете помочь предотвратить атаки методом перебора.

Снова откройте файл конфигурации демона SSH с помощью команды:

sudo nano /etc/ssh/sshd_config

Найдите строку:

#MaxAuthTries 6

Измените ее на:

MaxAuthTries 3

Сохраните и закройте файл. Перезапустите сервер SSH с помощью команды:

sudo systemctl restart sshd

5. Отключите SSH на десктопах

Если у вас есть настольные Linux-машины, вы можете отключить SSH.

Зачем?

А что если злоумышленник войдет в систему на одном из этих настольных компьютеров (поскольку он, вероятно, имеет более низкую безопасность, чем ваши серверы), а затем использует этот компьютер в качестве ретранслятора для получения доступа к вашим серверам?

Вы же этого явно не хотите.

Фактически, вместо отключения SSH, вы можете рассмотреть возможность полного удаления сервера SSH.

Для этого выполните одну из следующих команд:

  • sudo dnf remove openssh-server — на Fedora
  • sudo apt-get remove openssh-server — на Debian/Ubuntu

Если вы не хотите полностью удалять сервер SSH, отключите его с помощью команд:

sudo systemctl stop sshd
sudo systemctl disable sshd

Простая безопасность SSH

И вот что у вас есть: пять простых (и быстрых) способов заполучить дополнительную безопасность SSH на ваших серверах и настольных ПК.

После того, как вы позаботились об этих шагах, не думайте, что ваш центр обработки данных и другие бизнес-серверы абсолютно безопасны.

Всегда будьте прилежны и ищите подозрительные события с помощью файлов журналов и других средств мониторинга.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40