Detalhes

Categoria: Como fazer segurança

Atualização: Quinta, 12 Março 2009 21:58

Autor: vovó Vicki

Acessos: 16322

Configuração de programas cliente

O arquivo que configura o funcionamento de programas cliente é o ssh_config, localizado no diretório /etc/ssh. Abra este arquivo e verifique se os parâmetros citados abaixo (os principais) são:

# Site-wide defaults for various options

Host *
ForwardAgent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking no
IdentityFile ~/.ssh/identity
Port 22
Cipher blowfish
EscapeChar ~

Configuração do servidor SSH

O servidor SSH também possui um arquivo de configuração próprio: é o sshd_config que está no diretório /etc/ssh. Verifique se os parâmetros citados abaixo possuem os valores indicados.

# This is ssh server systemwide configuration file.

Port 22
Protocol 2
ListenAddress 192.168.1.1
HostKey /etc/ssh/ssh_host_key
ServerKeyBits 1024
LoginGraceTime 20
MaxStartups 1
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
PrintMotd yes
SyslogFacility AUTH
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
AllowUsers admin

Alguns recomendam alterar a porta padrão do SSH para alguma outra porta que não esteja sendo usada pelo sistema. O ganho de segurança é muito pequeno, se é que não é nulo porque a maioria das ferramentas hacker identificam com facilidade a mudança. Os parâmetros destacados em negrito tiveram seus valores default alterados:

• O valor default de Protocol é 2, 1. Mude-o para que apenas o protocolo 2 seja aceito (é mais seguro).
• Não permita que o usuário root faça login. Crie um usuário mais fraco para trabalhar com o SSH. Ele sempre pode usar um su para tarefas especiais.
• O LoginGraceTime ajusta o tempo que o servidor SSH espera até que um login seja completado. O valor default de 120 segundos foi drasticamente baixado para 20 segundos.
• O MaxStartups determina quantas conexões simultâneas, não autenticadas (sem login) o daemon SSH permite. O valor default de 10 foi reduzido para apenas 1.

Nenhum destes parâmetros interfere na quantidade de usuários autenticados, apenas dificulta a vida dos falsos usuários e cada um deles representa um pequeno ganho de segurança.

Usuários com acesso a shell

Verifique se os usuários que não precisam usar conexões SSH, como usuários apenas de email ou de FTP, estão com acesso a shell desabilitado. Edite o arquivo /etc/passwd e altere o final dos registros desejados para /sbin/false ou /sbin/nologin

uucp:x:56:15:uucp:/var/spool/uucp:/sbin/nologin
games:x:58:100:games:/usr/games:/sbin/nologin
gopher:x:99:2:gopher:/var/gopher:/sbin/nologin
forest:x:600:611:Forest Gump:/home/forest:/sbin/nologin