Pokud máte server, který spravujete přes SSH, je potřeba ho pořádně zabezpečit. To platí zejména v případě, že je váš server připojen do internetu. Nedávno jsem si pořídil VPSku a již mám plné logy útoků na SSH z celého světa, takže tohle berte opravdu vážně.
V defaultním nastavení je SSH celkem zranitelné, i když s dobrým heslem můžete relativně klidně spát. V defaultní nastavení má SSH jeden zásadní problém. Tím problémem je možnost přihlášení se jako root. Tím pádem má případný útočník lehčí práci, protože nemusí vymýšlet přihlašovací/login jméno. Dále je povoleno poměrně dost přihlášení a dost možná povolený i starý protokol verze 1, který má pár nepříjemných chyb.
Takže co s tím?
1 – je potřeba vytvořit nového uživatele adduser opicak
2 – je potřeba nastavit heslo passwd opicak
3 – do souboru /etc/sudoers doplnit pod root uživatele opicak
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
unixmen ALL=(ALL) ALL
4 – reset služby services sshd reset
5 – test připojení nového uživatele
6 – v souboru /etc/ssh/sshd_config upravit následující:
- #PermitRootLogin yes na PermitRootLogin no (zakázání přihlášení s loginem root)
- #Port 22 na Port XXXX (nezapomeňte otestovat nejprve otevřenost nového portu)
- #Protocol 2,1 na Protocol 2 (verze 1 obsahuje chyby)
- #LoginGraceTime na LoginGraceTime 20s (na správné přihlášení bude pouze 20 sekund)
- #MaxAuthTries na MaxAuthTries 3 (po třech chybných pokusech dojde k odpojení)
7 – reset služby sshd
To by mělo stačil ke zvýšení zabezpečení samotného SSH. Odradí to případné automaty, které neustále skenují síť. Bohužel, když si vás někdo vezme na mušku, třeba nastavení nestandardního portu SSH vám moc nepomůže, skenery dokáží detekovat nový port za pár vteřin. To ostatní výrazně zkomplikuje napadení. Na internetu jsem našel i doporučení, kde autor psal, že je dobré změnit ve zdrojáku SSH verzi SSH a provést rekompilaci. To dokáže zkomplikovat detekci verze SSH a tak zneužití známých děr dle verze, nicméně i to jen případné prolomení pouze zkomplikuje. Síťové analyzátory dokáží určit verzi SSH na základě struktury odpovědi serveru, takže verzi ani zjišťovat nemusí. Tolik asi k samotnému zabezpečení SSH. Snad jen tolik, že nově se budete přihlašovat takto: ssh 11.11.11.11 -l opicak -p xxxx. Za IP adresu a port xxx si dosaďte své hodnoty. Další zabezpečení bude spočívat v nastavení IPTABLES, ale o tom až jindy.