Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
Показано с 1 по 2 из 2
  1. #1
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое

    Безопасное использование сервера OpenSSH

    OpenSSH является реализацией протокола SSH. OpenSSH рекомендуется использовать для удаленного доступа в систему, для создания резервных копий, для дистанционной передачи файлов по протоколам scp или sftp и для многого другого. SSH идеально подходит для сохранения конфиденциальности и обеспечения целостности данных при обмене данными между двумя сетями или системами. Однако основным его преимуществом является аутентификация на сервере с использованием криптографии с открытым ключом. Время от времени возникают слухи о том, что есть эксплоит [Только зарегистрированные могут видеть это. ] для OpenSSH . Ниже перечислено, что вам нужно настроить с тем, чтобы повысить безопасность сервера OpenSSH.


    Конфигурационные файлы первоначальной настройки и порт SSH

    /etc/ssh/sshd_config - конфигурационный файл сервера OpenSSH
    /etc/ssh/ssh_config - конфигурационный файл клиентской части OpenSSH
    ~/.ssh/ - конфигурационная директория пользователей ssh
    ~/.ssh/authorized_keys или ~/.ssh/authorized_keys2 - список открытых ключей (RSA или DSA), которыми можно пользоваться при входе в систему по регистрационным записям пользователей
    /etc/nologin - если этот файл существует, то демон sshd не даст никому из пользователей доступ, кроме пользователя root
    /etc/hosts.allow (доступ разрешен) и /etc/hosts.deny (доступ запрещен): здесь находятся списки управления доступом, которые должны использоваться tcp-wrapper-ами
    SSH порт, используемый по умолчанию: TCP 22

    [Только зарегистрированные могут видеть это. ]

    Сессия SSH в действии

    № 1: Отключите сервер OpenSSH

    На рабочих станциях и ноутбуках можно работать без использования сервера OpenSSH. Если вам не нужен удаленный доступ и возможности передачи файлов через SSH, отключите и удалите сервер SSHD. В Linux системах CentOS / RHEL / Fedora пользователь может отключить и удалить сервер openssh с помощью команды yum:

    Код:
    # chkconfig sshd off
    # yum erase openssh-server
    В Linux системах Debian / Ubuntu пользователь может его отключить и одновременно удалить с помощью команды apt-get:

    Код:
    # apt-get remove openssh-server
    Вам может потребоваться изменить свой скрипт iptables с тем, чтобы удалить из него правило исключения для ssh. В CentOS / RHEL / Fedora отредактируйте файлы /etc/sysconfig/iptables и /etc/sysconfig/ip6tables. После того, как это сделаете, [Только зарегистрированные могут видеть это. ]:

    Код:
    # service iptables restart
    # service ip6tables restart
    № 2: Используйте только протокол SSH 2

    В протоколе SSH версии 1 (SSH-1) имеются проблемы, касающиеся атак вида "man-in-the-middle" ("человек посередине", т.е. когда атакующий может читать и видоизменять сообщения, которыми обмениваются корреспонденты, причем ни один из них не знает о наличии такого посредника – прим. пер.) и уязвимости, связанные с безопасностью. SSH-1 устарел и его использование следует любой ценой избегать. Откройте файл sshd_config и убедитесь в том, чтобы там присутствовала следующая строка:

    Код:
    Protocol 2
    № 3: Ограничьте доступ пользователей через SSH

    Во всех системах по умолчанию пользователям разрешено иметь доступ через SSH с использованием пароля или открытого ключа. Иногда Вы создаете учетную запись пользователя UNIX / Linux для доступа по протоколу ftp или использования электронной почты. Однако тот же самый пользователь может войти в систему через ssh. Он будет иметь полный доступ к системным средствам – компиляторам и таким скриптовым языкам, как Perl, Python, с помощью которых можно открывать порты и делать множество других удивительных вещей. В одной из моих клиентских программ есть устаревший php скрипт и атакующий может с помощью этого скрипта создать в системе новую учетную запись. Однако у атакующего нет возможности попасть в систему через ssh, поскольку он не указан в записи AllowUsers (пользователи, которым разрешен доступ).

    Для того, чтобы доступ в систему через SSH был разрешен только пользователям root, vivek и jerry, добавьте в файл sshd_config следующую запись:

    Код:
    AllowUsers root vivek jerry
    Вы можете, наоборот, разрешить всем пользователям использовать доступ через SSH, но для некоторых из них можете запретить его с помощью следующей записи:

    Код:
    DenyUsers saroj anjali foo
    Вы также можете [Только зарегистрированные могут видеть это. ], , который будет разрешать или запрещать доступ через сервер sshd. Вы можете задать список имен групп, которым разрешен или запрещен доступ через ssh.

    № 4: Сконфигурируйте время закрытия неработающей сессии

    Пользователь может заходить на сервер через ssh, а Вы для того, чтобы удалять брошенные сессии ssh, можете установить таймаут idle (время бездействия). Откройте файл sshd_config и убедитесь в том, что сконфигурированы следующие параметры:

    Код:
    ClientAliveInterval 300
    ClientAliveCountMax 0
    Вы устанавливаете таймаут idle в секундах (300 секунд = 5 минутам). После того, как указанное время истечет, бездействующий пользователь будет "выброшен" из системы (читайте – отключен от системы). Подробности о том, как автоматически отключать пользователей BASH / TCSH / SSH, смотрите по следующей ссылке: [Только зарегистрированные могут видеть это. ]

    № 5: Запретите использование файлов .rhosts

    Не разрешайте использовать файлы ~/.rhosts и ~/.shosts, имеющиеся у пользователя. Измените в файле sshd_config следующую настройку:

    Код:
    IgnoreRhosts yes
    Сервер SSH может эмулировать поведение устаревшей команды rsh, так что запретите небезопасный доступ через RSH.

    № 6: Запретите кросс-хостинговую аутентификацию (Host-Based Authentication)

    Для того, чтобы запретить кросс-хостинговую аутентификацию, впишите в файл sshd_config следующую опцию:

    Код:
    HostbasedAuthentication no



    P.S. S3ct0r - 6 советов думаю хватит...

    ©FreeHacks.ru
    Последний раз редактировалось S3ct0r; 14.11.2014 в 22:13.

  2. 3 пользователя(ей) сказали cпасибо:
  3. #2
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность
    От 0day это врят ли поможет)
    Безопасное использование сервера OpenSSH - № 1: Отключите сервер OpenSSH)))
    «Вози кусты и героин, а то останешься рабом» © Буравчик

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.