[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
nelson at pangeia.com.br
nelson at pangeia.com.br
Mon Jan 20 11:34:15 BRST 2014
Pode ser util olhar aqui tambem:
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
NM
On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
> e para os dinâmicos.
>
> Cordialmente,
> Guilherme Euler
> hrtp://www.euler.eti.br
> http://www.infodicas.com.br
>
> Enviado via smartphone.
> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
>
> > >
> > > Dei uma olhada neste site [1] e achei interessante as configurações
> > > de hardening do servidor SSH bem como a técnica de port knocking,
> > > mas gostaria de ouvir algumas outras sugestões.
> > >
> > > Agradeço a atenção!
> > >
> > > [1]
> > >
> > >
> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> > >
> > >
> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
> > em outra porta, e o acesso a essa outra porta depende de um port-knocking
> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
> > tentativa de conexão para a porta real (que tem um número mais baixo e bem
> > distante), e essa tentativa nunca se completa parecendo com qualquer outra
> > porta fechada da máquina.
> >
> >
> > Rubens
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list