Nieuws
image

Handige tips om SSH te beveiligen

zaterdag 31 maart 2007, 17:26 door Redactie, 9 reacties

Als het gaat om het beveiligen van SSH heeft iedereen wel een eigen mening of oplossing. Feit is wel dat het bruteforcen van SSH logins in de Top 10 van "Internet probes en aanvallen" van 2006 stond, en nog altijd de oorzaak van menig gehackte server is. De volgende checklist met tips moet dan ook helpen om de boel iets beter te beveiligen.

  • Verander de SSH poort, het liefst boven de 1024. De meeste poort scanners scannen geen hoge poortnummers.
  • Gebruik alleen SSH2, aangezien het SSH protocol 1 kwetsbaar is voor man in the middle aanvallen.
  • Laat alleen specifieke gebruikers via SSH inloggen.
  • Gebruik DSA public key authenticatie. Aangezien dictionary attacks dan niet meer werken.
  • Laat via TCP wrappers of iptables alleen bepaalde hosts connecten.
  • SSH "tijdslotje". Laat iemand die een verkeerd wachtwoord invult steeds langer wachten voordat hij het weer mag proberen.
Reacties (9)
31-03-2007, 18:27 door Anoniem
Laat root niet inloggen via SSH. De brute-forcer moet dan ook (naast het
wachtwoord) een geldige gebruikersnaam raden, en daarmee verklein je
de kans dat hij succes heeft.
01-04-2007, 12:48 door [Account Verwijderd]
[Verwijderd]
01-04-2007, 13:44 door Anoniem
Door Jos Visser
Maak een subtiele verandering in het SSH client/server
protocol zodat je alleen nog met je gemodificeerde client
kan inloggen: b.v. pipe alle pakketjes door "rev"
voordat ze
de lijn opgaan en vlak nadat ze van de lijn afkomen;
hierdoor kunnen hackers niet met hun standaard tools
proberen in te breken!


pas met dit soort dingen wel heel goed op dat je niet per
ongeluk iets verandert dat het protocol zwak maakt
01-04-2007, 17:46 door Anoniem
en firewallen

5x een synpakketje op poort 22 in 1 minuut -> block
01-04-2007, 19:13 door spatieman
dat SSH tijdslotje lukt me maar niet om goed te fixoren hier :(
maar voor de rest ben ik het er wel mee eens
02-04-2007, 09:17 door Anoniem
Door spatieman
dat SSH tijdslotje lukt me maar niet om goed te fixoren hier :(
maar voor de rest ben ik het er wel mee eens

Tijdslotje zoals hier uitgelegd is denk ik meer een
verouderd alternatief voor public-key authenticatie. Een
soms zinnig alternatief voor public-key authenticatie is
overigens het gebruik van one-time keys, en dat valt wel weer
aardig te combineren met een pam_tally of soortgelijke
oplossing.

Mischien trouwens wel een leuk onderwerp voor een poll, eens
zien hoe
veel mensen er nog steeds password authenticatie gebruiken
voor ssh,
en hoeveel er pubkey, one-time-key of andere alternatieven
gebruiken.
02-04-2007, 09:30 door Anoniem
iptables -A INPUT -p tcp --dport 21:23 -m state --state NEW
-m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 21:23 -m recent --update
--seconds 60 --hitcount 4 --rttl --name SSH -j DROP
02-04-2007, 17:39 door [Account Verwijderd]
[Verwijderd]
02-04-2007, 23:07 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure