[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

Guilherme Boing kolt at frag.com.br
Mon Jan 20 12:18:17 -03 2014


Que paranóia...

Desabilita acesso via password e autentica somente via private key, além
disso, se possível, forneça acesso via vpn e libere somente o acesso da
rede local para estes usuários via ssh (allowuser usuario at ip).


2014/1/20 Fernando José <nandograva at hotmail.com>

> Já deu preguiça de conectar nessa rede só de ler o procedimento, rsrsrs....
>
> Fernando.
>
> > From: candrecn at hotmail.com
> > To: masoch-l at eng.registro.br
> > Date: Mon, 20 Jan 2014 17:13:18 +0300
> > Subject: Re: [MASOCH-L] Como melhorar a segurança para acesso remoto via
> SSH
> >
> > Estou vendo mesmo que sou muito paranoico mesmo ¬_¬
> >
> > O negócio é usar:
> > + Bloqueado TUDO que não for IP brasileiro
> > + DNS dinâmico individual por usuário (se IP dinâmico bater , mas for
> fora do Brasil = DENY)
> > + Túnel #1 - "área de descompressão" - login e senha + certificado com
> validade limitada e com senha de mais de 40 caracteres - duplo certificado,
> uso de porta não padrão, alta e não registrada, e configurado para não
> responder consulta/solicitação inválida.
> > + Túnel #2 - "dentro da rede" - login e senha + certificado com validade
> limitada  com senha de mais de 40 caracteres (login, senha, e senha de
> certificado diferente do primeiro :P) - duplo certificado, uso de porta não
> padrão, alta e não registrada - diferentes da primeira ...
> > + No nome do DNS dinâmico e logins não usar nomes que possam identificar
> o usuário diretamente.
> >
> > O legal, é que assim"espanta" os que querem ter acesso para dizer que
> tem :P
> >
> > Atenciosamente,
> >
> > Carlos André
> >
> >
> >
> >
> >
> > cand...... at hotmail.com
> >
> > > From: gst.freitas at gmail.com
> > > Date: Mon, 20 Jan 2014 11:33:59 -0200
> > > To: masoch-l at eng.registro.br
> > > Subject: Re: [MASOCH-L]     Como melhorar a segurança para acesso
> remoto via SSH
> > >
> > > simples e prático.. openvpn.. acesso somente
> > > local..
> > >
> > > Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
> > > >
> > > > Pode ser util olhar aqui tambem:
> > > >
> > > > http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
> > > >
> > > > NM
> > > >
> > > >
> > > > On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
> > > >> Geralmente utilizo o port-knocking mesmo, mas existe a opção também
> de
> > > >> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se
> ajustar
> > > >> as regras direitinho é uma boa solução também. Por exemplo, tenho
> um DNS
> > > >> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a
> porta do SSH
> > > >> bloqueada pra todo mundo, fica aberta apenas para quem tem
> determinados IPs
> > > >> e para os dinâmicos.
> > > >>
> > > >> Cordialmente,
> > > >> Guilherme Euler
> > > >> hrtp://www.euler.eti.br
> > > >> http://www.infodicas.com.br
> > > >>
> > > >> Enviado via smartphone.
> > > >> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
> > > >>
> > > >> > >
> > > >> > > Dei uma olhada neste site [1] e achei interessante as
> configurações
> > > >> > > de hardening do servidor SSH bem como a técnica de port
> knocking,
> > > >> > > mas gostaria de ouvir algumas outras sugestões.
> > > >> > >
> > > >> > > Agradeço a atenção!
> > > >> > >
> > > >> > > [1]
> > > >> > >
> > > >> > >
> > > >> >
> http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
> > > >> > >
> > > >> > >
> > > >> > Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
> > > >> > atrapalhar um pouco os scanners, enquanto seu SSH está rodando de
> verdade
> > > >> > em outra porta, e o acesso a essa outra porta depende de um
> port-knocking
> > > >> > numa terceira porta. Mas eu usaria um port-knocking simples, tipo
> basta a
> > > >> > tentativa de conexão para a porta real (que tem um número mais
> baixo e bem
> > > >> > distante), e essa tentativa nunca se completa parecendo com
> qualquer outra
> > > >> > porta fechada da máquina.
> > > >> >
> > > >> >
> > > >> > Rubens
> > > >> > __
> > > >> > masoch-l list
> > > >> > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >> >
> > > >> __
> > > >> masoch-l list
> > > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > >
> > >
> > > --
> > > Gustavo Freitas
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list