Ssh turvalisemaks tegemine

Allikas: Pingviini viki

Esiteks luba ainult protokoll 2, kuna esimene on vististi ametlikult ebaturvaliseks kuulutatud:

 Protocol 2

Ruuduna masinas hullata on ohtlik, Samuti on enamus dictionary häkke sellele üles ehitatud, seega igal juhul on hea ära keelata ruuduna sisselogimine. Kui vaja ruuduna miskit askeldada siis selleks su -:

PermitRootLogin no

Turvalisuse huvitav oleks hea kui ainult teatud ja vajalikud kasutajad saaksid ssh-d kasutada, selleks:

AllowUsers james illukas mari jyri

Lisaks saab kindlad kasutajad siduda kindla aadressiga:

AllowUsers james@192.168.0.* mait@hostname.domain


Kui kasutad ainult ühe masina tagant siis on mõtekas lubada ka ainult ühest masinast ligipääsu:

ListenAddress 192.168.1.6

Vaikimisi on ssh pordiks 22, seesamune millele teevad botid päringuid. Kui sa ei viitsi enam logifailidest vajalikku inffi ülesse leida siis selleks muuda ära port ja vuala botid kadunud, vaata ka et tülemüürist oleks lubatud keelatud vajalikud pordid:

Port 7676

Muuda ka sisselogimise aeg ära, et sesioonid ei jääks tükiks ajaks rippu

LoginGraceTime 1m

Keela ilma paroolita sisselogimine ja pane kasutajale anonymous parool!

PermitEmptyPasswords no

Lisaks võiks ka võtmete transport olla flopidel või miskil muul füüsilisel andmekandjal siis ei ole miskit teha ka ssh spoof attackiga- ehk vahemehena. Ehk kõik sessiooni alustamiseks on olemas mõlemas masinas ja sensitiivseid andmeid üle neti ei liigu. Ja muidugi tulemüüd tulemüür