El 29 de septiembre de 2008 14:39, Gonzalo Rivero <[EMAIL PROTECTED]>escribió:
> ideas tomadas del manual de seguridad de debian: > > http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.1 > * ListenAddress 192.168.0.1 > Permitir que ssh solo escuche en esa interface (por ejemplo, solo la de la > lan) > > * PermitRootLogin no > Que no puedan entrar como root... así alguien, además de la clave de > root necesite averiguar un usuario y una clave para poder entrar > (digamos que hace mas lentos los ataques de fuerza bruta) > * Port 666 or ListenAddress 192.168.0.1:666 > cambiar el puerto de ssh, pero anuncian que esto es seguridad por oscuridad > * PermitEmptyPasswords no > no dejar que entren con claves vacías > > * AllowUsers alex ref [EMAIL PROTECTED] > solo permitir el acceso a algunos usuarios (en el ejemplo, 'alex', > 'ref' y 'me'), desde algunos lugares ('@somewhere') > > * AllowGroups wheel admin > solo permite el acceso a los miembros de esos grupos > > * PasswordAuthentication yes > It is completely your choice what you want to do. It is more > secure to only allow access to the machine from users with ssh-keys > placed in the ~/.ssh/authorized_keys file. If you want so, set this > one to "no". > En esto no estoy tan seguro... muchas veces leí por ahí que era mas > seguro usar el archivo de claves para no tener que tipearlas (por si > la computadora tiene keylogger y esas cosas) > > * Deshabilitar cualquier tipo de autenticación que no se > necesite, si no se está usando, por ejemplo RhostsRSAAuthentication, > HostbasedAuthentication, KerberosAuthentication or > RhostsAuthentication you should disable them, even if they are already > by default (see the manpage sshd_config(5)). > > * Protocol 2 > Apagar la versión 1 del protocolo, parece que es facil de crackear > > * Banner /etc/some_file > Agregar un cartelito para los usuarios que se conecten. En algunos > paises hay que agregarlos para tener protección legal(!) > > de: > http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.10 > (la subsección 4.10.3) encontré otro interesante para retrasar los > ataques de fuerza bruta > agregar: FAIL_DELAY 10 a /etc/login.defs, esto es: ponen mal > la clave, esperar 10 segundos hasta intentarlo de nuevo...imagina lo > que podría tardar un ataque de fuerza bruta que pruebe clave por clave > hasta dar con la buena > > -- > http://fishblues.blogspot.com/ > http://gonzalor.blogspot.com/ > Yo estoy en forma: ¡redondo es una forma! > Otra opción tambien puede ser el utilizar port-knocking. El incremento de seguridad es bastante notable (Con poner aunque sea 4 knocks para que se abra una regla de iptables por el puerto 22 eleva muchisimo el numero de posibilidades, ya que primero tiene que abrir esos puertos, y si no se hace login en pongamos 60 segundos, se cierra el puerto de nuevo). Te dejo documentación sobre ello: http://crysol.inf-cr.uclm.es/node/618 http://es.wikipedia.org/wiki/Golpeo_de_puertos by google. Un saludo
