Handige tips om SSH te beveiligen
Als het gaat om het beveiligen van SSH heeft iedereen wel een eigen mening of oplossing. Feit is wel dat het bruteforcen van SSH logins in de Top 10 van "Internet probes en aanvallen" van 2006 stond, en nog altijd de oorzaak van menig gehackte server is. De volgende checklist met tips moet dan ook helpen om de boel iets beter te beveiligen.
- Verander de SSH poort, het liefst boven de 1024. De meeste poort scanners scannen geen hoge poortnummers.
- Gebruik alleen SSH2, aangezien het SSH protocol 1 kwetsbaar is voor man in the middle aanvallen.
- Laat alleen specifieke gebruikers via SSH inloggen.
- Gebruik DSA public key authenticatie. Aangezien dictionary attacks dan niet meer werken.
- Laat via TCP wrappers of iptables alleen bepaalde hosts connecten.
- SSH "tijdslotje". Laat iemand die een verkeerd wachtwoord invult steeds langer wachten voordat hij het weer mag proberen.
wachtwoord) een geldige gebruikersnaam raden, en daarmee verklein je
de kans dat hij succes heeft.
Maak een subtiele verandering in het SSH client/server
protocol zodat je alleen nog met je gemodificeerde client
kan inloggen: b.v. pipe alle pakketjes door "rev"
voordat ze
de lijn opgaan en vlak nadat ze van de lijn afkomen;
hierdoor kunnen hackers niet met hun standaard tools
proberen in te breken!
pas met dit soort dingen wel heel goed op dat je niet per
ongeluk iets verandert dat het protocol zwak maakt
maar voor de rest ben ik het er wel mee eens
dat SSH tijdslotje lukt me maar niet om goed te fixoren hier :(
maar voor de rest ben ik het er wel mee eens
Tijdslotje zoals hier uitgelegd is denk ik meer een
verouderd alternatief voor public-key authenticatie. Een
soms zinnig alternatief voor public-key authenticatie is
overigens het gebruik van one-time keys, en dat valt wel weer
aardig te combineren met een pam_tally of soortgelijke
oplossing.
Mischien trouwens wel een leuk onderwerp voor een poll, eens
zien hoe
veel mensen er nog steeds password authenticatie gebruiken
voor ssh,
en hoeveel er pubkey, one-time-key of andere alternatieven
gebruiken.
-m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 21:23 -m recent --update
--seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.