חסימת גישת ROOT

[Jonathan Zeierman]

היי חברים,
קראתי באינטרנט קצת ולפי מה שהבנתי שמומלץ לחסום את הגישה הישרה לRoot ע"י עריכה של:

קוד:

/etc/ssh/sshd_config

קוד:

PermitRootLogin = no

וליצור משתמש רגיל ופשוט להשתמש ב- sudo.
החשש הוא שרובטים כנראה יסנו לתקוף את השרת עם סיסמאות כלומר: ssh root@$IP בסגנון הזה.
לשרת שלי אני מתחבר עם SSH KEY, מישהו יכול לשפוך אור על הנושא?
למה כן לבטל את הגישה ומהי הדרך הנכונה לבצע?
תודה.

[OMG]

היי ג'ונתן.
בין אם תשתמש ב sudo או su , כחלק מהרצון תמיד להגן על השרת בדרך הטובה ביותר, ישנם מספר דרכים לבצע חסימות.

באבטחה של גישה לשרת ה Best practice תמיד:
1. שימוש בפורט SSH לא דיפולטיבי (ברירת מחדל 22 )
2. חסימה ברמת Firewall לפורט SSH ולאפשר גישה רק עבור ה IP הקבוע שלך במידה ויש לך, או לחילופין לעבוד עם firewall בעל ניהול Web ולאפשר את האייפי שלך ידנית כל פעם שתרצה להתחבר.
3. חסימת התחברות ישירה למשתמש root , מכיוון שכל BOT ינסה תמיד לנחש סיסמאות עבור משתמש root מומלץ ליצור משתמש בעל שם לא קבוע ( jonathan ) , להוסיף אותו לרשימת AllowUsers לאחר שאתה מוודא שאתה אכן יכול להתחבר איתו
ולבצע החלפת משתמש לרוט ( su root ) מומלץ לחסום את ההתחברות הישירה של משתמש root.
4. ביטול התחברות באמצעות סיסמא ( PasswordAuthentication ) ולעבור להתחברות באמצעות מפתחות ( PubkeyAuthentication ).

זה בגדול, תמיד יש איפה להשתפר

[Tomer]

OMG, ההמלצות שלך נכונות, מלבד ההמלצה הראשונה - לא רלוונטי להחליף פורט, ניתן לעלות על זה בקלות עם nmap.

[Jonathan Zeierman]

היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:

קוד:

/etc/ssh/sshd_config

ואז:

קוד:

PermitRootLogin without-password

בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?

[kolin]

CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo.

[Talbo]

ציטוט:

נכתב במקור על ידי Jonathan Zeierman

היי
תודה על התגובה!
1. קראתי באינטרנט ששינוי הפורט כבר לא רלוונטי.
2. על איזה פירוול היית ממליץ? CSF? יש לי IP קבוע.
3. אני מתחבר באמצעות מפתחות public key ולא דרך סיסמה.
4. מצאתי דרך שברגע שאתה עורך את:

קוד:

/etc/ssh/sshd_config

ואז:

קוד:

PermitRootLogin without-password

בעצם מבטל את האפשרות לנסיון דרך סיסמה והשרת זורק אותך אם אין לך KEY.
דרך פעולה טובה? או שעדיף ליצור משתמש ולתת לו הרשאות לsu/sudo?

ציטוט:

נכתב במקור על ידי kolin

CSF מומלץ עדיין. עדיף ליצור משתמש עם הרשאות מוגבלות לא כמו רוט. ולתת sudo.

היי ג'ונתן, במידה ואכן כתובת ה-IP שלך סטטית, אין צורך בהתקנת Firewall צד שלישי.
ניתן להשתמש בiptables כך שיאפשר אך ורק ל-IP ספציפי להתחבר לשרת בפורט 22.

מצרף לך פקודה לדוגמה כאשר 1.1.1.1 מתחלף ב-IP שלך:

קוד:

iptables -I INPUT -p tcp -s 1.1.1.1 --dport 22 -j ACCEPT

כמובן שהפוליסה "INPUT" צריכה להיות במצב של DROP.
* שים לב שכאשר הפוליסה "INPUT" במצב DROP היא תפיל כל פאקטה מלבד החוקים המאושרים. ממליץ מאוד לקרוא על iptables לפני.

קוד:

iptables -A INPUT -p DROP

שים לב להריץ את הפקודה הנ"ל רק לאחר שהבנת את השימוש שלה כדי להימנע ממצב של נעילה מחוץ לשרת.

צור איתי קשר אם אתה צריך עזרה
בהצלחה.

[Rhost]

תומר אני חולק איתך על להחליף פורט לדעתי זה דבר כדאי מאוד, יש הרבה ברוט פורס שפשוט סורקים על פורט 22 זה שאתה משנה את זה לפורט אחר מבטל בערך 90% רוטקיטים למניהם.

[דניאל]

אני מסכים עם תומר וחולק על מי שחולק עליו.
גילוי פורט הוא פעולה שלוקחת 30 שניות, גם אם שינית אותו.

הדרך להתגבר על bruteforce בשיטה הטובה ביותר היא פשוט לחסום את הגישה ב-FW לכתובות IP ספציפיות, בטח לא לשנות פורט.

[Rhost]

כיום יש ברוט פורסים מתוכחמים שיכולים להריץ לך ברוט פורס מכמה וכמה כתובות אייפי החסימה שאתה עושה מפיירוואל עד שזה יחסום עדיין יש סיכוי להריץ על השרת שלך מאות אלפי סיסמאות , וכל זה באופן אוטומטי מרוטקיט, לפני סריקת ברוט פורס הבוט סורק עם קיים פורט 22 פתוח ורק אז הוא סורק את האייפי אבל עם שינית את הפורט הוא פשוט מדלק עליך.
ואם יש אופציה לשנות את הפורט ועוד בפעולה מאוד פשוטה אני לא רואה סיבה לא לשנות את הפורט.

ועוד דבר אם קיימים לשרת אחד כמה כתובות אייפי תמיד כדי לשים אייפי רק בשביל ssh ולא להשתמש בו לשירותים אחרים.