Aumentando o nível de seguraça na conexão SSH

Distribuição testada: Debian 8 (Jessie)

Requisitos SSH intalado

Primeiramente vamos mudar a porta do SSH  de preferencia para uma porta bem alta (são mais difíceis serem escaneadas) e após definir apenas um único usuário para conexão

Aletere as seguintes linhas:

Addicione a linha:

Restarte o serviço:

Pronto!

Agora sua porta de conexão SSH é a 55222, terminou? Não!!!

Que tal enganar um pouco! 🙂
Vamos criar uma regra de firewall com iptables, caso você já tenha um script de firewall adicione a ele. A regra será um DROP na porta 22 assim vai dar uma falsa impressão que sua porta está protegia quando alguém usar algum scanner, vai passar aquele impressão: “- iii tem firewall na 22, vamos procurar outro….”

Drop falso na porta 22

Se desejar filtrar sua porta de SSH (54222) e deixar apenas IP X ou Y conectarem-se, no meu exemplo deixo apenas os IPs 200.1.2.3 e toda a classe 10.0.0.0-10.0.0.255.

Como dito no momento que seu servidor for scanear seu servidor a porta 22 ira aparecer como filtrada.
Instale o nmpa (# apt-get install nmap) para fazer os teste:

Assim já estou protegido! Legal!!!
Suficiente? Meu nível é mais paranóico, então se desejar prossiga 😀
O que vamos fazer, é meio que redundante como que fizemos no firewall, porém se por alguma “zica” seu firewall não tiver rodando o próximo passo vai salvar! Vamos configurar nos hosts para bloquear o serviço SSH e liberar apenas para seu IP ou classe.

Adicione:

Adicione:

Agora sim né! Humm.. Sei não que tal instalar o fail2ban?

Por padrão o modulo de proteção do SSH vem ativo (true) no Debian, no parâmetro maxretry você define o número de tentativas que poderá errar a senha para conexão a partir de um determinado IP.

Para alterar as configurações do fail2ban edite o arquivo /etc/fail2ban/jail.conf

Por padrão os tempos de banimento é de 5 min
bantime = 600 # Se nenhuma correspondência é encontrada dentro de X segundos
findtime = 600 # Duração para um IP ser banido

Estamos 100% seguro? Nada é 100% seguro, mas certamente você levou seu nível de segurança a um nível “hard core”!

Rudimar Remontti

Trabalho atualmente como Gerente de Redes em um Provedor de Internet no Rio Grande do Sul.

Você pode gostar...

6 Resultados

  1. Excelente dica, seu site está de parabéns, não conhecia o site, mas de um tempo pra cá agora sempre busco algumas dicas aqui, obrigado por compartilhar com a gente! um abraço!

  2. Andre disse:

    Muito bom, bem explicado.
    Parabéns.

  3. Italo disse:

    Dica simples e muito boa, cara. Obrigado. Me ajudou bastante.

  4. Paulinho disse:

    Como faço isso?
    Que tal enganar um pouco!
    No seu firewall coloque a seguinte linha:

    # Engana porta
    iptables -A INPUT -p tcp –dport 22 -j DROP

  5. Daniel disse:

    da para liberar só seu ip local

    boa dica

  6. Adriano disse:

    Muito boa sua dica
    Parabéns pelo blog!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *