[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
Guilherme Euler
eulergui at gmail.com
Mon Jan 20 11:14:41 BRST 2014
Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
e para os dinâmicos.
Cordialmente,
Guilherme Euler
hrtp://www.euler.eti.br
http://www.infodicas.com.br
Enviado via smartphone.
Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> >
> > Dei uma olhada neste site [1] e achei interessante as configurações
> > de hardening do servidor SSH bem como a técnica de port knocking,
> > mas gostaria de ouvir algumas outras sugestões.
> >
> > Agradeço a atenção!
> >
> > [1]
> >
> >
> http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> >
> >
> Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
> em outra porta, e o acesso a essa outra porta depende de um port-knocking
> numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
> tentativa de conexão para a porta real (que tem um número mais baixo e bem
> distante), e essa tentativa nunca se completa parecendo com qualquer outra
> porta fechada da máquina.
>
>
> Rubens
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list