jueves, 9 de mayo de 2019

5 consejos rápidos para endurecimiento de SSH


Si utiliza Secure Shell, deberá revisar esta lista de verificación con cinco consejos rápidos para hacer que el servidor Linux sea un poco más seguro.

Si es un administrador de Linux, lo más probable es que dependa de Secure Shell (SSH) para el acceso remoto a su centro de datos u otras máquinas comerciales. SSH es, por diseño, un protocolo bastante seguro. Sin embargo, hay maneras de hacerlo aún más seguro. De hecho, tengo cinco consejos muy rápidos que puede usar para bloquear mejor ese servidor SSH. Esto se puede hacer en pocos minutos.

1. Establecer el intervalo de inactividad

El intervalo de tiempo de espera inactivo es la cantidad de tiempo durante el cual una sesión ssh puede permanecer inactiva. Cuando ese tiempo de espera pasa, la conexión se interrumpe. Fuera de la caja, esta opción está deshabilitada. Lo habilitaremos y estableceremos un tiempo de cinco minutos (300 segundos). Para hacer esto, ejecute el comando:

sudo nano / etc / ssh / sshd_config

En este archivo, busque:

#ClientAliveInterval 0

Cambie eso a

ClientAliveInterval 300

Guarde y cierre el archivo. Reinicie el servidor SSH con el comando:

sudo systemctl restart sshd

2. Desactivar contraseñas vacías

Hay algunas cuentas de usuario del sistema que se crean sin contraseñas. El administrador de una máquina Linux también puede crear usuarios estándar sin contraseñas. Fuera de la caja, SSH está configurado de tal manera que no impide que se permitan contraseñas vacías. Vamos a arreglar eso.

Abra el archivo de configuración del demonio SSH nuevamente con el comando:

sudo nano / etc / ssh / sshd_config

Localiza la línea:

#PermitEmptyPasswords no

Cambie eso a

PermitEmptyPasswords no

Guarde y cierre el archivo. Reinicie el servidor SSH con el comando:

sudo systemctl restart sshd

3. Deshabilitar el reenvío X11

Si tiene servidores con interfaces GUI, o tiene máquinas de escritorio que requieren el uso de SSH, probablemente debería desactivar el reenvío X11. ¿Qué es el reenvío X11? Esto permite a cualquiera hacer un túnel de las aplicaciones GUI a través de SSH. Lo último que desea es que un usuario malintencionado vea fácilmente la información confidencial a través de la GUI, o explote esta característica ya insegura.

Para deshabilitar esta función, abra el archivo de configuración del demonio SSH nuevamente con el comando:

sudo nano / etc / ssh / sshd_config

Busca la línea:

X11Forwarding yes

Cambie lo anterior a:

X11Forwarding no

Guarde y cierre el archivo. Reinicie el servidor SSH con el comando:

sudo systemctl restart sshd

4. Limitar los intentos máximos de autenticación

Al establecer un umbral bajo para los intentos de inicio de sesión, puede ayudar a prevenir ataques de fuerza bruta. Abra el archivo de configuración del demonio SSH nuevamente con el comando:

sudo nano / etc / ssh / sshd_config

Busca la línea:

#MaxAuthTries 6

Cambie esa línea a:

MaxAuthTries 3

Guarde y cierre el archivo. Reinicie el servidor SSH con el comando:

sudo systemctl restart sshd

5. Deshabilitar SSH en los escritorios

Si tiene máquinas de escritorio con Linux, es posible que desee considerar la desactivación de SSH. ¿Por qué? ¿Qué pasaría si un usuario malintencionado iniciara sesión en una de esas máquinas de escritorio (porque probablemente tienen menos seguridad que sus servidores) y luego usa esa máquina como retransmisión para obtener acceso a sus servidores? Tú no quieres eso. Período.

De hecho, en lugar de deshabilitar SSH, puede considerar eliminar completamente el servidor SSH. Para hacerlo, ejecute uno de los siguientes comandos:

sudo dnf remove openssh-server - en sistemas basados ​​en Fedora.

sudo apt-get remove openssh-server - en sistemas basados ​​en Debian / Ubuntu.

Si no desea eliminar completamente el servidor SSH, desactívelo con los comandos:

sudo systemctl stop sshd

sudo systemctl disable sshd

Seguridad SSH simple

Y ahí lo tienen: cinco formas simples (y rápidas) de obtener un poco de seguridad SSH adicional en sus servidores y equipos de escritorio. Una vez que haya realizado estos pasos, no piense que su centro de datos y otros servidores empresariales son perfectamente seguros. Siempre sea diligente y esté atento a eventos sospechosos a través de archivos de registro y otros medios.



No olvides Compartir...
Siguenos en twitter: @disoftin


No hay comentarios:

Publicar un comentario