[PORADNIK]Zabezpieczanie SSH

[Gość]

Witam wszystkich

Postanowiłem napisać kolejny prosty poradnik jak w prosty sposób zabezpieczyć nasze SSH

 

Podstawą jest utrzymywanie złożonych haseł przykładowo

C2c7@$^żę8N2D2F1

 

Drugą rzeczą jest zmiana naszego portu standardowy jest 22 często jest skanowany poprzez Hakerów

Możemy to zrobić w prosty sposób

 

Przechodzimy do katalogu zawierającego pliki konfiguracyjne SSH

 

 cd /etc/ssh

 

Edytujemy

 

nasz edytor sshd_config

 

Wyszukujemy linijkę port standardowo jest on 22 ustawiamy 4 cyfrowy port przykładowo 3333

Restartujemy SSH

/etc/init.d/ssh restart

 

I od tej pory nie nie łączymy się na porcie 22 z SSH tylko na tym którym ustaliliśmy w plikach konfiguracyjnych SSH

 

Dużym zagrożeniem dla naszego serwera są różnego typu skrypty.

 

Dla tego polecam wyłączenie bezpośrednią możliwość logowania się na konto root

 

w pliku konfiguracyjnym SSH odnajdujemy

PermitRootLogin [b]yes
[/b]

Zamieniamy go na

 

PermitRootLogin [b]no 
[/b]

Można też zainstalować dodatkowe oprogramowanie sam zalecam.

 

apt-get install fail2ban denyhosts

 

Utrzymuj też w pełni system z aktualizowany zawsze daje to w pewnej mierze bezpieczeństwo.

[Gość Kopaczka]

Zapomniałeś o ilości prób logowania.

 

I w haśle nie radzę polskich znaków używać.

Hasło: alfanumeryczne ze znakami specjalnymi powyżej 9 liter.

Przykład: m&(N6b*@h8J^

Co do portu to sama zmiana dużo nie da bo istnieje takie coś jak nmap.

 

Pozdrawiam

 

P.S Albo masz błąd w tytule tematu albo lubisz pisać pokemonem ;]

[BlueMan 69]

Opisy dodatkowego oprogramowania jakie zostało poruszane w pierwszym poście:

fail2ban - http://www.debianhelp.co.uk/fail2ban.htm

denyhosts - http://wmroczkowski.pl/2010/01/denyhosts-czyli-jeszcze-bezpieczniejsze-ssh/

[Gość]

Blueman

Piszę poradniki tu po to aby nie było bez sensownych tematów stale nowe są zakładane. z jednym i tym samym pytaniem wszyscy się czepiają tego co robię ale odważnego do pisania brak. Dobrze ze ty chociaż włożyłeś opis tych programów

[regdos 1848]

Blueman

Piszę poradniki tu po to aby nie było bez sensownych tematów stale nowe są zakładane. z jednym i tym samym pytaniem wszyscy się czepiają tego co robię ale odważnego do pisania brak. Dobrze ze ty chociaż włożyłeś opis tych programów

Tylko chodzi o to żeby było coś zrobione dobrze a nie zrobione żeby było. Bo ktoś korzystając z takiego poradnika będzie miał przeświadczenie, że ma wszystko super zabezpieczone.

Instalacja fail2ban i dennyhost na nic się nie zda jeżeli ich nie skonfigurujemy i nie zrozumiemy ich działania.

Wyszukujemy linijkę port standardowo jest on 22 ustawiamy 4 cyfrowy port przykładowo 3333

Wypadało by tutaj dopisać, że podany port nie może być zajęty przez inna usługę. Np. jeżeli ktoś wpisze 3306 to albo mysql nie będzie działać albo w co gorszym wypadku ssh nie wstanie i nawet nie połączymy się z serwerem.

A dlaczego ograniczasz port to 4 cyfr ? przecież 5 też może być i efekt jest ten sam.

Dużym zagrożeniem dla naszego serwera są różnego typu skrypty.

Dla tego polecam wyłączenie bezpośrednią możliwość logowania się na konto root

tzn. jakiego typu skrypty i jak zagrażają i mają związek z logowaniem na konto root ?

 

Dodatkowo mógłbyś popracować nad językiem polskim.

[Gość N3T5kY]

Jak to powiedział Fiercio, chciałeś dobrze a wyszło jak zwykle.

 

RSA i DSA to ktoś dla frajdy wymyślił ?

 

Albo logowanie z określonych IP?

[Gość]

Nie ze super zabezpieczone , bo ja tylko prosty sposób przedstawiłem.

 

Co pisze u góry

 

[PORADNIK]Zabespieczanie SSH Instrukcja prostego zabespieczenia SSH

 

Nie przejmuje się moim pismem może mam problem z dysekcją , zdarza się

 

 

Przekazuje tyle wiedzy ile mam . a tobie to nie pasuje bo wiesz więcej ? weź się do roboty i sam coś napisz.

[regdos 1848]

Nie ze super zabezpieczone , bo ja tylko prosty sposób przedstawiłem.

 

Co pisze u góry

 

 

 

Nie przejmuje się moim pismem może mam problem z dysekcją , zdarza się

 

 

Przekazuje tyle wiedzy ile mam . a tobie to nie pasuje bo wiesz więcej ? weź się do roboty i sam coś napisz.

 

 

U góry jest napisane, że jest to prosty poradnik a nie poradnik po wykonaniu, którego nie ma się dostępu do serwera. Pisząc poradnik należy rozumieć to co się robi a Ty w wątku o LAMP przyznałeś się sam, że zalecasz instalowanie czegoś a nie wiesz sam co to jest.

Zabezpieczenie SSH poprzez zmianę portu nie zwiększa jakoś specjalnie bezpieczeństwa maszyny a używanie skomplikowanych haseł i to nie tylko przy SSH jest dość oczywiste.

 

Co do Twojej dys-czegoś-tam - to, że coś masz nie zwalnia Cie z używania słownika czy też z Office lub Firefox-a ze sprawdzaniem pisowni.

[Gość]

Ja się tak nauczyłem tak wykonywałem serwer lamp teraz wiem co i jak co do czego służy więc , wiesz każdy ma prawo do błędu.

 

Jestem nowicjuszem w tym temacie kiedyś ty też sam byłeś i pytałeś lub czytałeś na ten temat.

[p 3]

Podstawą jest utrzymywanie złożonych haseł przykładowo

C2c7@$^żę8N2D2F1

Podstawą jest wyłączenie logowania po jakimkolwiek haśle. Należy logować się korzystając z kluczy zabezpieczonych hasłem.

 

Drugą rzeczą jest zmiana naszego portu standardowy jest 22 często jest skanowany poprzez Hakerów

1) Nie przez hackerów, tylko przez script-kiddies.

2) To jest tzw. "security through obscurity" i tak naprawdę nic nie daje.

 

Nie przejmuje się moim pismem może mam problem z dysekcją , zdarza się

Chyba z lenistwem...

[regdos 1848]

Jestem nowicjuszem w tym temacie kiedyś ty też sam byłeś i pytałeś lub czytałeś na ten temat.

Tak jak byłem nowicjuszem to czytałem i szukałem i czytałem i szukałem (pytałem naprawdę w ostateczności gdy nie udało mi się znaleźć czegoś) a nie brałem się za pisanie poradników, no bo jak można napisać dobry poradnik jeżeli samemu się nie za bardzo wie o co chodzi ?

 

Jak już będziesz miał wiedzę i doświadczenie to wtedy pisz poradniki.

 

Z Twojego innego "poradnika" na temat squida rozbawił mnie tekst

serwer Proxy (...) przyspiesza nam wczytywanie stron internetowych ok o 50%.

Jak możesz wytłumaczyć ten fenomen ?

 

 

 

--edit by Blue

Wywaliłem zbędne posty niedotyczące tego tematu! Sprawy "innego poradnika" poruszajcie w innym temacie.