A raíz del tuit de ayer sobre los ataques a un SSH que acababa de levantar en un VPS, os dejo este HILO para securizar vuestros SSH sin morir en el intento. Hoy en día el servicio SSH es uno de los mas utilizados en todo el mundo, después del HTTP y HTTPS. 
Un SSH o Secure Shell, es una forma de administrar remotamente un servidor a través de consola de comandos o vía GUI (X2Go). Pero también permite establecer túneles para usarlo por ejemplo como una VPN o incluso como un FTP mediante SCP. La navaja suiza de los servicios.
Que se sea tan versátil, hace que sea muy utilizado pero también el gran olvidado: "si funciona no lo toques". El primer #CiberConsejo es tener el servidor SSH ACTUALIZADO. No es el primer OpenSSH (u otro) que veo sin actualizar desde que se montó el servidor hace años.
Para gustos colores, pero a mi no me gusta hacer login con credenciales (usuario/contraseña), prefiero utilizar un fichero de clave pública/privada PEM o PPK, sin ese fichero, nadie puede entrar. Si pierdo el fichero, pierdo el acceso. 😬😬
Uno de los puntos mas controvertidos es subir el puerto por defecto 22TCP a uno por encima del 20000. En puridad no es una medida de seguridad, pero en la vida real, nos quitamos el 99% de los escaneos indiscriminados que sufre un SSH en el 22. Por lo tanto, lo recomiendo.
Ya a nivel de fichero de configuración de SSH, me gustan tener estar directivas así:
- MaxAuthTries a 3, para evitar que nos bombardeen a contraseñas (no confundir con el fail2ban).
- MaxStartups a 1, en ciertos casos hay que subir para poder tener mas conexiones al mismo tiempo
- MaxAuthTries a 3, para evitar que nos bombardeen a contraseñas (no confundir con el fail2ban).
- MaxStartups a 1, en ciertos casos hay que subir para poder tener mas conexiones al mismo tiempo
Continuando con el fichero de configuración:
- AllowUsers solo con los usuarios autorizados, pero repito, me gusta mas el sistema PEM o PPK.
Hay muchas mas configuraciones, pero estas serian las básicas.
- AllowUsers solo con los usuarios autorizados, pero repito, me gusta mas el sistema PEM o PPK.
Hay muchas mas configuraciones, pero estas serian las básicas.
La opción de Port-Knocking para esconder el servicio, no me convence mucho, ya que si alguien nos están intentado hacer login al mismo tiempo que nosotros, la secuencia falla y no podremos entrar ni nosotros ni los malos.
Una opción interesante, es poner un 2FA, el mas sencillo es el de Google Autenticathor, lo llevas en el móvil y ya está. Hay otras opciones mas "pro" como las YubiKey u otro tipo de token.
Si siempre nos conectamos desde la misma IP, el mismo ISP o el mismo país, podemos configurar una restricción en el FW para que no se puedan conectar desde otros sitios.
Como sabéis, el listado de nodos de salida de TOR es público, este este: dan.me.uk/torlist/ lo podemos añadir como lista negra en nuestro FW para que nadie pueda acceder desde esas IP.
A esto último se le puede añadir un fail2ban, para mandar a pastar las IP de los moscardones que están intentado hacer fuerza bruta a nuestros servicios. Si disponemos de un listado de IP de inteligencia que ya han sido catalogadas como peligrosas, las podemos añadir.
Y la mejor de las opciones, aunque mas "peligrosa", es levantar un servicio oculto de TOR para el SSH en nuestro servidor, así solamente podremos acceder desde la DarkWeb con la dirección .ONION, sin necesidad de tener un servicio SSH publicado en la Surfaceweb.
El problema de esto, es que si se cae la instancia de TOR, se cae la conexión SSH y nos quedaremos sin poder controlar el servidor, si el servidor lo tenemos en un VPS en la estepa de Rusia, ya lo podemos dar por perdido.
Estos son los consejos que os puedo aportar para securizar un SSH. ¿Se os ocurre alguno mas que queráis compartir?
• • •
Missing some Tweet in this thread? You can try to
force a refresh
