otrdiena, 2011. gada 5. aprīlis

Par SSH un drošību

Šis ir svarīgi!!!

Sākšu ar morāli - SSH konfigurācijā (sshd_config) failā ir vēlams ielikt AllowUsers parametru un norādīt tos lietotājus, kam tiks ļauts pieslēgties pa SSH.
Piemēram šādi:

AllowUsers admin saimnieks

Kāpēc šo visu rakstu? Tāpēc, ka šodien kādā svešā serverī kārtējo reizi pamanīju vienu reālu drošības problēmu Linux serveros. Proti visādi random / testa lietotāji, kurus noķer ļaunie portu skanētāji.

Skanēt portus un mēģināt ielogoties visos serveros pēc kārtas ar vienkāršiem lietotājiem un viegli uzminamām parolēm nav nekas sarežģīts un to internetā dara daudzi. Rezultātā veidojas aptuveni šāds scenārijs - ja jūs esat paredzējuši, ka jums būs administratora lietotājs 'admin' un saimnieka lietotājs 'saimnieks', kas slēgsies pa ssh, bet vēlāk izdomājat patestēt piemēram ftp vai kādu citu lietu / skriptu un izveidojat lietotāju 'test' ar paroli test, lietotāju 'user' ar paroli user vai piemēram lietotāju 'drupal', 'ruby' vai 'web' ar vienkāršām parolēm. Ja ssh konfigurācijā nav ierobežots atļauto lietotāju skaits, visi sistēmas lietotāji var pieslēgties serverim pa ssh, pat ja jūs tā neesat plānojis. Rezultātā var redzēt, ka sistēma strādā ar 100% slodzi, ko rada lietotājs 'test', kas darbina procesu 'portscan2', 'send-spam' vai ko līdzīgu.
Ļaunajiem serveri nogāzt / salauzt un / vai zagt jūsu datus nav iespējams vai nav interesanti, bet jūsu serveris var kļūt par zombiju svešā ļaunuma impērijā.

Novērst šo nav grūti un jēga ir liela, problēmu reālā dzīvē esmu redzējis kādas reizes trīs.
AllowUsers @ sshd_config ;)

5 komentāri:

Anonīms teica...

Raivi, taisi kontus ar normālām parolēm un redzēsi, ka tā nav Linux problēma! :)

Raivis Dejus (orvils) teica...

Es viennozīmīgi piekrītu, vajag normālas paroles, taču, ja tas kaut kādu iemeslu dēļ nenotiek AllowUsers varētu palīdzēt :)

cuu508 teica...

Vēl tajā failā prātīgi ir ielikt:

PubkeyAuthentication yes
PasswordAuthentication no

--visi paroļu minētāji paliks ar garu degunu

Crack teica...

ari noder zināt

usermod -s /bin/false username
tādejādi liedzot accesu pie shell

Vasja teica...

AllowGroups būs krietni jēdzīgāks risinājums...