Seguridad del sistema: resuelva el problema de mejorar la seguridad del servicio sshd

Cuando usamos Linux o Unix para construir un servidor, a fin de facilitar el mantenimiento y la administración remotos, básicamente, abrimos el servicio sshd. Aunque ssh pasará paquetes en línea a través de la tecnología de encriptación para transmitir datos, puede resistir de manera efectiva a los piratas informáticos que utilizan la indagación de la red para obtener contraseñas e información secreta, pero todavía hay muchos intrusos que intentan contraseñas u otros medios para atacar a los servidores ssh. Obtener el control del servidor. ¿Cómo puedo hacer que mi servidor sea más seguro y confiable? Siempre y cuando ajustemos ligeramente la configuración del servidor ssh, puede mejorar considerablemente la seguridad del sistema y reducir el riesgo de intrusión en la red. La operación específica es la siguiente:

1. Modifique el archivo de configuración /etc /ssh /sshd_config del servidor sshd, y modifique algunos parámetros de la siguiente manera para mejorar la seguridad.

Puerto 5555

El sistema usa el puerto 22 de manera predeterminada, y cambia el puerto de escucha a otros valores (preferiblemente un puerto alto por encima de 1024 para evitar conflictos con otros puertos de servicio regular). Es más difícil aumentar si el sistema de detección de intrusos ejecuta el demonio sshd.

ListenAddress 192.168.0.1

En el caso de instalar varias tarjetas de red en el servidor o configurar varias direcciones IP, configure sshd para escuchar solo en una de las direcciones de interfaz especificadas, lo que puede reducir La entrada a sshd reduce la posibilidad de intrusión.

PermitRootLogin no

Si permite a los usuarios iniciar sesión como root, los piratas informáticos pueden tratar de forzar las contraseñas de fuerza bruta para los usuarios root, lo que representa un riesgo para la seguridad del sistema.

PermitEmptyPasswords no

Permitir el uso de un sistema de contraseñas nulas es como una fortaleza indefensa. Todas las medidas de seguridad son palabras vacías.

Permitir usuarios sshuser1 sshuser2

Solo ciertos usuarios pueden acceder al servidor a través de ssh, y los derechos de uso de ssh están limitados al mínimo.

AllowGroups sshgroup

Similar a los AllowUsers anteriores, el grupo de usuarios especificado está restringido para acceder al servidor a través de ssh, que tiene el mismo efecto en el servidor de acceso limitado.

Protocol 2

El protocolo de la versión 1 está prohibido debido a fallas de diseño que facilitan el bloqueo de contraseñas.

No permitir todos los métodos de autorización no deseados (o no garantizados).

X11Forwarding no

Desactiva X11Forwarding para evitar que las sesiones sean secuestradas.

MaxStartups 5

El servicio sshd se ejecuta con una gran cantidad de memoria para cada conexión, por lo que ssh tiene un ataque de denegación de servicio. Un servidor es suficiente para esta configuración de conexión a menos que haya muchos administradores que administran el servidor al mismo tiempo.

Nota: la configuración de parámetros anterior es solo un ejemplo. Los usuarios deben realizar los cambios correspondientes de acuerdo con sus respectivos entornos.

2. Modifique los permisos de lectura /escritura del archivo de configuración del servidor sshd /etc /ssh /sshd_config, y establezca permisos de solo lectura para todos los usuarios no root para evitar que usuarios no autorizados modifiquen la configuración de seguridad del servicio sshd.

chmod 644 /etc /ssh /sshd_config

3. Configure TCP Wrappers. El servidor acepta todas las conexiones de solicitud de forma predeterminada, lo que es muy peligroso. El uso de TCP Wrappers puede bloquear o permitir que los servicios de aplicación se abran solo a ciertos hosts, lo que agrega una capa de seguridad al sistema. Esta parte de la configuración incluye dos archivos: hosts.allow y hosts.deny.

Agregue las solicitudes permitidas explícitamente a /etc/hosts.allow. Si el sistema solo permite que los hosts con direcciones IP 192.168.0.15 y 10.0.0.11 usen el servicio sshd, agregue lo siguiente:

sshd: 192.168.0.15 10.0.0.11

estará prohibido. La información se agrega a /etc/hosts.deny. Para todos los usuarios excepto sshd, excepto para aquellos que explícitamente permiten sshd en la lista hosts.allow, agregue lo siguiente al archivo hosts.deny:

sshd: Todos

Nota: El sistema juzga los dos archivos anteriores en el orden de verificación del archivo hosts.allow y luego del archivo hosts.deny. Por lo tanto, un usuario puede usar los recursos de red en hosts.allow y la red está prohibida en hosts.deny. Recursos, en cuyo caso el sistema prefiere usar la configuración hosts.allow para permitir que los usuarios usen los recursos de la red.

4. Intente desactivar algunos servicios de inicio que no son necesarios para el sistema. El sistema inicia muchos servicios relacionados con la red de forma predeterminada, por lo que los puertos correspondientes están abiertos para ESCUCHAR. Sabemos que cuantos más puertos estén abiertos, más probable será que el sistema se vea comprometido desde el exterior, por lo que deberíamos intentar cerrar algunos servicios de inicio innecesarios para cerrar los puertos tanto como sea posible para proporcionar seguridad al sistema.

Los pasos anteriores básicamente bloquean las posibles vulnerabilidades en la configuración del servicio sshd, sin necesidad de invertir, siempre que nos tomemos un poco de tiempo para ajustar la configuración, puede mejorar considerablemente el entorno de seguridad del sistema, He Le No para eso?