Aprendendo SSH: Boas práticas para fazer em um servidor SSH
Neste presente, sexto e último post, da nossa série de posts sobre Aprendendo SSH abordaremos de forma prática, a configuração e uso de as opções especificadas no Arquivo de configuração OpenSSH que são manuseados ao lado do servidor ssh, ou seja, o arquivo "Configuração SSHD" (sshd_config). Que, abordamos na edição anterior.
De tal forma que possamos conhecer de forma breve, simples e direta, alguns dos melhores boas práticas (recomendações e dicas) quando configurar um servidor SSHtanto em casa como no escritório.
Aprendendo SSH: opções e parâmetros do arquivo de configuração SSHD
E, antes de começar o tópico de hoje, sobre as melhores “boas práticas a aplicar nas configurações de um servidor SSH”, deixaremos alguns links para publicações relacionadas, para leitura posterior:
Boas práticas em um servidor SSH
Quais boas práticas se aplicam ao configurar um servidor SSH?
Em seguida, e com base nas opções e parâmetros del Arquivo de configuração SSHD (sshd_config), visto anteriormente no post anterior, esses seriam alguns dos melhores boas práticas realizar quanto à configuração do referido arquivo, para garantir Nosso melhor conexões remotas, entrada e saída, em um determinado servidor SSH:
Especifique os usuários que podem fazer login no SSH com a opção Permitir usuários
Como esta opção ou parâmetro geralmente não é incluído por padrão no referido arquivo, pode ser inserido no final do mesmo. Fazendo uso de um lista de padrões de nome de usuário, separados por espaços. Assim, se especificado, o login, somente o mesmo será permitido para correspondências de nome de usuário e nome de host que correspondam a um dos padrões configurados.
Por exemplo, como visto abaixo:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Diga ao SSH qual interface de rede local escutar com a opção ListenAddress
Para fazer isso, você deve habilitar (descomentar) o opção Endereço de escuta, que vem dee padrão com o valor "0.0.0.0", mas na verdade funciona Modo TODOS, ou seja, escute em todas as interfaces de rede disponíveis. Portanto, o referido valor deve ser estabelecido de tal forma que se especifique qual ou endereços IP locais eles serão usados pelo programa sshd para escutar solicitações de conexão.
Por exemplo, como visto abaixo:
ListenAddress 129.168.2.1 192.168.1.*
Defina o login SSH por meio de chaves com a opção Autenticação de senha
Para fazer isso, você deve habilitar (descomentar) o opção Autenticação de senha, que vem dee padrão com o sim valor. E então, defina esse valor como "Não", a fim de exigir o uso de chaves públicas e privadas para obter autorização de acesso a uma máquina específica. Conseguindo que somente usuários remotos possam entrar, a partir do computador ou computadores, que estejam previamente autorizados. Por exemplo, como visto abaixo:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Desabilite o login root via SSH com a opção PermitRootLogin
Para fazer isso, você deve habilitar (descomentar) o Opção PermitRootLogin, que vem dee padrão com o valor "proibir-senha". No entanto, se se desejar que na íntegra, usuário root não tem permissão para iniciar uma sessão SSH, o valor apropriado para definir é "Não". Por exemplo, como visto abaixo:
PermitRootLogin no
Altere a porta SSH padrão com a opção Porta
Para fazer isso, você deve habilitar (descomentar) o opção de porta, que vem por padrão com o valor "22". Porém, é vital alterar a referida porta para qualquer outra disponível, a fim de mitigar e evitar o número de ataques, manuais ou de força bruta, que podem ser feitos através da referida porta conhecida. É importante certificar-se de que esta nova porta esteja disponível e possa ser utilizada pelos outros aplicativos que irão se conectar ao nosso servidor. Por exemplo, como visto abaixo:
Port 4568
Outras opções úteis para definir
Por último, e desde o programa SSH é muito extenso, e na edição anterior já abordamos cada uma das opções com mais detalhes, abaixo mostraremos apenas mais algumas opções, com alguns valores que podem ser apropriados em vários e variados casos de uso.
E estes são os seguintes:
- Faixa /etc/issue
- Intervalo ClientAlive 300
- ClienteAliveCountMax 0
- LoginGraceTime 30
- Nível de registro INFORMACAO
- MaxAuthTries 3
- MaxSessões 0
- Máximo de Inicializações 3
- Permitir senhas vazias Não
- PrintMotd sim
- PrintLastLog sim
- Modos Estritos Sim
- SyslogFacility AUTH
- X11Encaminhando sim
- X11DisplayOffset 5
NotaNota: Observe que, dependendo do nível de experiência e especialização do Administradores de sistema e os requisitos de segurança de cada plataforma de tecnologia, muitas dessas opções podem variar de maneira muito correta e lógica de maneiras muito diferentes. Além disso, outras opções muito mais avançadas ou complexas podem ser habilitadas, pois são úteis ou necessárias em diferentes ambientes operacionais.
Outras boas práticas
Entre outras boas práticas para implementar em um servidor SSH Podemos mencionar o seguinte:
- Configure uma notificação por e-mail de aviso para todas as conexões SSH específicas.
- Proteja o acesso SSH aos nossos servidores contra ataques de força bruta usando a ferramenta Fail2ban.
- Verifique periodicamente com a ferramenta Nmap em servidores SSH e outros, em busca de possíveis portas abertas não autorizadas ou necessárias.
- Reforce a segurança da plataforma de TI instalando um IDS (Intrusion Detection System) e um IPS (Intrusion Prevention System).
Resumo
Em suma, com esta última parcela em "Aprendendo SSH" finalizamos o conteúdo explicativo sobre tudo relacionado OpenSSH. Com certeza, em pouco tempo, estaremos compartilhando um pouco mais de conhecimento essencial sobre o Protocolo SSH, e a respeito de sua usar por console através Shell Scripting. Então esperamos que você esteja “boas práticas em um servidor SSH”, agregaram muito valor, tanto pessoal quanto profissionalmente, ao usar GNU/Linux.
Se você gostou deste post, não deixe de comentar e compartilhar com outras pessoas. E lembre-se, visite nosso «página inicial» para explorar mais novidades, bem como aderir ao nosso canal oficial de Telegrama de DesdeLinux, Oeste grupo para mais informações sobre o tema de hoje.
Estou ansioso para a segunda parte deste artigo, onde você expande mais o último ponto:
Reforce a segurança da plataforma de TI instalando um IDS (Intrusion Detection System) e um IPS (Intrusion Prevention System).
Obrigado!
Atenciosamente, Lhoqvso. Estarei aguardando sua realização. Obrigado por nos visitar, ler nosso conteúdo e comentar.