[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH
Gustavo Freitas
gst.freitas at gmail.com
Mon Jan 20 11:33:59 BRST 2014
simples e prático.. openvpn.. acesso somente
local..
Em 20 de janeiro de 2014 10:34, <nelson at pangeia.com.br> escreveu:
>
> Pode ser util olhar aqui tambem:
>
> http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
>
> NM
>
>
> On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
>> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
>> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
>> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
>> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
>> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
>> e para os dinâmicos.
>>
>> Cordialmente,
>> Guilherme Euler
>> hrtp://www.euler.eti.br
>> http://www.infodicas.com.br
>>
>> Enviado via smartphone.
>> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
>>
>> > >
>> > > Dei uma olhada neste site [1] e achei interessante as configurações
>> > > de hardening do servidor SSH bem como a técnica de port knocking,
>> > > mas gostaria de ouvir algumas outras sugestões.
>> > >
>> > > Agradeço a atenção!
>> > >
>> > > [1]
>> > >
>> > >
>> > http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
>> > >
>> > >
>> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
>> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
>> > em outra porta, e o acesso a essa outra porta depende de um port-knocking
>> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
>> > tentativa de conexão para a porta real (que tem um número mais baixo e bem
>> > distante), e essa tentativa nunca se completa parecendo com qualquer outra
>> > porta fechada da máquina.
>> >
>> >
>> > Rubens
>> > __
>> > masoch-l list
>> > https://eng.registro.br/mailman/listinfo/masoch-l
>> >
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
--
Gustavo Freitas
More information about the masoch-l
mailing list