simpelt sikring af SSH på en debian box

Her er hvordan man meget simpelt kan højne sikkerheden af openssh-server ved at editere lidt i følgende config file.

# vi /etc/ssh/sshd_config

Det første der børe gøres er at ændre linjen:
PermitRootLogin yes
til
PermitRootLogin no
Alle ved at en linux kasse har en root bruger og derfor vil den være det første offer for et angreb.

derefter bør man tilføje denne linje med en liste over de bruger som må ssh ind på kassen:
AllowUsers
f.eks:
AllowUsers hans jens inger

Herefter skal servicen genstartes:

/etc/init.d/ssh restart

En anden sikring som er vigtig er debian pakken Fail2ban som er en daemon der kan overvåge logfiler og blokere ipaddresser hvis de laver flere login forsøg som mislykkes over en periode.

# Apt-get install fail2ban

Default beskytter Fail2ban SSH og tager man en kig i fail2ban loggen vi man sandsynlig se dette efter kort tid.

$ tail -f /var/log/fail2ban.log 
iptables -X fail2ban-<name>
2009-08-12 12:57:43,812 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
2009-08-12 12:57:43,813 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2009-08-12 12:57:43,814 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2009-08-13 00:51:41,418 fail2ban.actions: WARNING [ssh] Ban 91.203.232.3
2009-08-13 01:01:41,438 fail2ban.actions: WARNING [ssh] Unban 91.203.232.3
2009-08-13 03:41:52,534 fail2ban.actions: WARNING [ssh] Ban 222.85.67.243
2009-08-13 03:51:52,558 fail2ban.actions: WARNING [ssh] Unban 222.85.67.243

Nogle kan også godt lidt at ændre ssh port nummeret for til et tal over 1024, for at undgå langt de fleste portscanner, personligt ser jeg ikke denne ændring som en der er vigtig at lave.

Ændring af port gøres ved at ændre linjen:
Port 22
til f.eks.
Port 3022
en genstart af ssh vil flytte porten ssh lytter på.

Hvis man ønsker at SSH skal lytte på flere porte skal man tilføje flere Port under hinanden:
Port 22
biliver til
Port 22
Port 3022
SSh lytter nu både på port 22 samt port 3022...

  • You are here:  
  • Home
  • Debian
  • simpelt sikring af SSH på en debian box