Aumentando a segurança do servidor SSH
Pra começo de tudo, aposto que a maioria sabe aquelas regrinhas básicas tipo: mudar a porta do servidor, não permitir o root logar.
Mas se não souber, basta editar algumas coisinhas no arquivo /etc/ssh/sshd_config:
Mudar a porta:
Procure pela linha Port, a alteração é bem sugestiva.
Assim evitamos boa parte dos engraçadinhos que ficam futricando a grande rede com essas ferramentas criadas para ser “faca de dois gumes”.
Não deixar o root logar:
Altere a linha PermitRootLogin yes para PermitRootLogin no
Assim evitamos de o usuário usar algum exploit por exemplo que já tomaria poder de “Godmaster” no sistema, colocando uma barreira que é ter descobrir o nome de um usuário válido no sistema. Por isso sou contra quem fala mal do sudo.
Segue abaixo umas regrinhas para você colocar no seu script de firewall:
PORTSSH="4578"
iptables -A INPUT -p tcp --dport 22 -j LOG
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport $PORTSSH -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport $PORTSSH -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport $PORTSSH -j ACCEPT
Na primeira linha, altere o valor 4578 que usei como exemplo para o número da sua porta ssh.
A segunda é pra logar informações da “criança” que tentar abrir conexão direto na porta 22 que é a padrão do ssh.
A terceira e quarta é pra evitar um ataque de força bruta.
E a quinta é pra abrir a verdadeira porta do servidor ssh.
E o root você já sabe, é o usuário mais poderoso do seu sistema e que ninguém além de você deve tocar nele.
Pessoal, o negócio é o seguinte, a finalidade desse minúsculo artigo é apenas uma base para a bíblia do iptables. Mas garanto que melhora muito pra quem conecta direto na internet ao invés de usar um NAT. Não é uma solução definitiva mas não deixa seu sistema tão vulnerável. Comentem. Tanto quem gostar do tópico e quem não gostar… Afinal estamos aqui para ensinar e aprender também!
