Primário básico para proteger SSH

(Super seguro) Shell seguro simplificado

A troca de chaves é importante para o SSH seguro
A troca de chaves é importante para o SSH seguro

Vamos enfrentá-lo, garantindo Secure Shell (ou SSH) pode ser tão confuso quanto o enredo do Primer do filme. Mas, como no filme, vale a pena o esforço. Embora você possa encontrar um guia completo sobre shell seguro e seguro on-line, forneceremos uma visão geral de algumas das melhores práticas que você precisa seguir se realmente deseja estar seguro ao usar o SSH. Você pode se surpreender com a facilidade de ouvir se não estiver configurado corretamente.

Práticas recomendadas para proteger o SSH

Aqui está um resumo das principais coisas que você deseja considerar cuidadosamente se você usa o SSH e deseja permanecer seguro.

  • Troca de chaves - Basicamente, você vai querer usar: Diffie-Hellman ou Elliptic Curve Diffie-Hellman para fazer uma troca de chaves. Isso ocorre porque ambos fornecem sigilo antecipado, o que torna mais difícil para as pessoas espionar. Como você provavelmente sabe, o OpenSSH atualmente suporta 8 protocolos de troca de chaves. Os que você deseja usar são curva25519-sha256: ECDH acima Curve25519 com SHA2 OR diffie-hellman-grupo-troca-sha256: DH personalizado com SHA2.
  • Autenticação de servidor - Você pode usar quatro algoritmos de chave pública para autenticação do servidor. Desses quatro, sua melhor aposta (por ser seguro) é usar RSA com SHA1 para as necessidades de autenticação do servidor. O truque é certificar-se de que você desabilitou os algoritmos de chave pública que NÃO vai usar. Isso é facilmente resolvido com alguns comandos. Certifique-se de que os arquivos init não recarregam as chaves que você não deseja usar.
  • Autenticação de cliente - Depois de configurar algo mais seguro, desative a autenticação por senha, que é vulnerável a ataques de força bruta. É muito melhor usar autenticação de chave pública - assim como no lado do servidor. Outra opção é usar OTP (senhas de uso único) para tornar mais difícil para os bandidos espionar sua conexão de dados segura para tentar aprender mais sobre você.
  • Autenticação de usuário - Este é um aspecto importante da configuração de um servidor para aceitar conexões SSH verdadeiramente seguras. Basicamente, você deseja criar uma lista de permissões de usuários permitidos. Isso bloqueará qualquer pessoa que não esteja na lista de tentar fazer login. Se você tiver um grande número de usuários que se conectarão ao servidor via SSH, você desejará usar AllowGroups em vez de AllowUser, mas ainda é relativamente fácil de configurar.
  • Cifras simétricas - Quando se trata de cifras simétricas, você tem alguns algoritmos disponíveis. Mais uma vez, cabe a você escolher os melhores para segurança. Nesse caso, você vai querer usar chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr e aes128-ctr.
  • Códigos de autenticação de mensagens - Se você estiver usando um modo de cifra AE, não precisará se preocupar com MACs porque eles já estão incluídos. Por outro lado, se você seguiu a rota CTR, vai querer usar o MAC para marcar todas as mensagens. Encrypt-then-MAC é o único método que deve ser usado se você quiser ter certeza de que está o mais seguro possível ao usar SSH.
  • Análise de Tráfego - Por último, mas não menos importante, você vai querer usar Serviços ocultos do Tor para seus servidores SSH. Ao usar isso, você tornará as coisas ainda mais difíceis para os bandidos, adicionando mais uma camada de proteção. Se você não estiver usando LAN, certifique-se de desligá-lo.

Quando terminar de verificar e alterar todos os itens acima, você vai querer executar ssh -v para verificar as alterações feitas no seu sistema. Esse comando simples listará todos os algoritmos que você decidiu usar para que possa verificar facilmente seu trabalho.

Além disso, endureça seu sistema!

Essas são boas dicas para qualquer servidor conectado à Internet, mas também são extremamente úteis para garantir que suas conexões SSH sejam o mais seguras possível.

  • Instale apenas o software necessário. Mais código equivale a mais oportunidades de bugs e explorações que podem ser usadas por hackers mal-intencionados.
  • Use FOSS (Software Livre / de Código Aberto) sempre que possível, para garantir que você tenha acesso ao código-fonte. Isso permitirá que você verifique o código por conta própria.
  • Atualize seu software O mais frequente possível. Isso o ajudará a evitar problemas conhecidos que podem ser explorados por bandidos.

Conforme mencionado, as dicas acima são coisas que você deve fazer, quer esteja ou não tentando proteger suas conexões SSH com o servidor.

O SSL Takeaway

A conclusão do SSL é que mesmo que algo tenha a palavra “seguro” ou “segurança” em seu nome, isso não significa que será o mais resistente possível contra ataques se você não configurá-lo corretamente. Se você é responsável por um servidor e usa SSH com frequência para se conectar a ele (ou permitir que outros o façam), reserve um tempo para configurá-lo corretamente para garantir a segurança máxima.

Em SSL.com, acreditamos em tornar o Práticas recomendadas de SSL tão fácil de entender e implementar quanto possível.

Chris Kemmerer

Todas as mensagens

Artigos Relacionados

Ver Todos os Artigos
Facebook Youtube Twitter Github

Inscreva-se no boletim informativo de SSL.com

O que é SSL /TLS?

Reproduzir Vídeo

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa