ssh: configurare la sicurezza
Marco Bisetto
marco@folgorante.net
Sab 7 Mar 2009 19:07:17 CET
On Saturday 2009-03-07 17:07 +0100, Ivan wrote:
> - cambiare porta di default: OK
Inutile complicazione.
> - chiave pubblica/privata: OK
Che intendi? Vorresti disabilitare la password e usare solo accessi
con chiave? Se la password e` buona mi pare superfluo.
> - PermitRootLogin no così root non può loggarsi OK
Si`.
> - AllowUsers ivan così si può accedere solo con questo nick. OK
Si`.
> Altro?
Per quanto ne so praticamente tutta l'attivita` che c'e` in rete
relativa a ssh sono tentativi brute force. Vedrai subito dai log. Data
la bassa frequenza con cui si possono tentare gli accessi sara`
sostanzialmente impossibile che azzecchino una buona password.
A voler essere proprio puntiglioso e ridurre la frequenza con cui
possono tentare gli accessi puoi aggiungere tre regole di iptables
alla input chain, pero` questo ha senso solo se il computer rimane
permanentemente collegato e ti secca che questi insistano a mangiarsi
banda e riempirti i log con tentativi inutili:
-m state --state ESTABLISHED,RELATED -j ACCEPT
-p tcp --dport ssh -m recent --update --seconds 30 -j DROP
-p tcp --dport ssh --tcp-flags syn,ack,rst syn -m recent --set -j ACCEPT
Ciao.
--
Marco Bisetto
Maggiori informazioni sulla lista
blug