Quantcast
PplWare Mobile

Instalou o OpenSSH? Estas configurações são “obrigatórias”…

                                    
                                

Autor: Pedro Pinto


  1. jovilano says:

    2° passo adicionar auth por key….

    • Jc says:

      Pois…
      Dizer para desactivar passwords sem activar chaves…

      Para alem disso eu diria que o programa fail to ban é bem util

      • Miguel Azevedo says:

        Pelo que está no artigo, foi dito para desactivar a “PermitEmptyPasswords” ou seja, logins com passwords vazias. Nada tem a haver com desactivar passwords.

        Uma mudança que não tem quase qualquer efeito é a mudança de porto, basta um simples scan e detecta-se o porto que está a ser utilizado para qualquer protocolo.

        Todos os outros pontos parece-me bem.

  2. Joao Ptt says:

    Claro que não se mete autenticação por password, isso é o básico “não”, tem de ser por chave publica/ privada ou EdDSA Ed448 (+/- 223 bit de segurança) ou RSA 8192 (+/- 192 bit de segurança) (ou superior: RSA 16384 (+/- 256 bit de segurança) )… se for chave RSA e utilizarem algo como Putty Key Generator para a criar usem as opções mais avançadas para garantir a máxima segurança: Key > “Use proven primes with even distribution (slowest)” e “Use “strong” primes as RSA key factors”. Todo o cuidado é pouco na geração destas chaves… e muitos problemas no passado aconteceram por causa de não ter existido todo o cuidado necessário.

    Para a actualidade e para os próximos anos (até ao ano de 2028) 128 bit é o nível de segurança mínimo recomendado pela ECRYPT, pelo que qualquer das opções acima é mais do que suficiente, e deixam uma margem confortável de segurança.
    Depois do ano 2028 o nível mínimo recomendado é de 256 bit e realmente aí só com RSA 16384 bit é que é possível atingir e ultrapassar ligeiramente os valores mínimos recomendados para atingir esse nível de segurança.
    Quer dizer, teoricamente o ECDSA nistp521 também permite atingir o nível de segurança de 256 bit, mas existem dúvidas na comunidade que se dedica a esta área acerca da forma como as curvas elípticas apareceram, desconfiando-se que a NSA, que as criou, criou com alguma vulnerabilidade… logo não são tão confiáveis nesse aspecto.

  3. Joao says:

    Instalar ja, nem preciso do windows

  4. Str says:

    2fa adiciona outra camada de protecção

    • Mr. Y says:

      2fa no ssh? Não sabia que era possível!

      • Joao Ptt says:

        Aparentemente até é possível utilizar chaves de segurança físicas FIDO2, como segundo factor de autenticação (exemplo de implementação: https://www.stavros.io/posts/u2f-fido2-with-ssh/ ).

        Diria que em conjunto com a chave pública/ privada de autenticação primária EdDSA Ed448, ou RSA 8192, ou RSA 16384, é o nível de segurança maior que se pode obter… maior mesmo só se conseguirem gerar a chave primária a partir de um dispositivo de hardware de segurança (HSM) dedicado só para essa função… para nenhum código maligno conseguir obter a chave privada.

      • Str says:

        Se quiser apertar a malha, ainda mais, pode até definir o IP e o utilizador, tudo o que for diferente o SSH chuta logo para canto.

  5. George Orwell says:

    O porto 22 TCP é muito utilizado por intrusos.
    Quem não precisar de utilizar o protocolo SSH deverá bloquear o mesmo.
    O unified firewall (ufw) presente em muitas distros e o seu “gui” muito intuitivo (gufw) permite acrescentar as mais diversas “rules” ali pré-definidas, entre as quais a “rule” para o SSH, podendo reverter em qualquer altura, assim como voltar a activar.
    Bastará adiccionar esta “rule” presente no menu e fazer o “Deny” bidireccionalmente para bloquear o SSH.
    Outras “rules” importantes para dificultar o trabalho dos intrusos são, por exemplo: samba, ftb, telnet, UpnP, RDP, NTP, imap, imaps, pop3, pop3s etc.
    Basta o deny de cada uma bidireccionalmente.
    Haverá outros protocolos também críticos, venham daí sugestões.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.