GNU/Linux >> Belajar Linux >  >> Linux

Cegah SSH mengiklankan nomor versinya

Solusi 1:

Meskipun sangat sulit untuk menyembunyikan nomor versi daemon SSH Anda, Anda dapat dengan mudah menyembunyikan versi linux (Debian-3ubuntu4)

Tambahkan baris berikut ke /etc/ssh/sshd_config 

DebianBanner no

Dan restart daemon SSH Anda:/etc/init.d/ssh restart atau service ssh restart

Solusi 2:

Menyembunyikannya tidak akan mengamankan server Anda. Ada lebih banyak cara untuk sidik jari apa sistem Anda sedang berjalan. Khususnya untuk SSH, pengumuman versi merupakan bagian dari protokol dan diperlukan.

http://www.snailbook.com/faq/version-string.auto.html

Solusi 3:

Hampir secara universal, spanduk pengidentifikasi adalah bagian dari kode yang dikompilasi dan tidak memiliki opsi konfigurasi untuk mengubah atau menyembunyikannya. Anda harus mengkompilasi ulang perangkat lunak tersebut.

Solusi 4:

Saya cukup yakin Anda tidak dapat benar-benar mengubah pengumuman versi.

Cara terbaik untuk mengamankan sshd adalah:

  1. Ubah nomor port default.
  2. Larang login root.
  3. Paksakan protokol 2 (dengan asumsi bahwa ini tidak dilakukan secara default).
  4. Memberi putih server yang diizinkan masuk SSH.

Tiga yang pertama dapat dilakukan dengan memodifikasi /etc/sshd_config

Yang keempat bergantung pada perangkat lunak firewall mana yang Anda gunakan.

Solusi 5:

Seperti disebutkan di atas, mengubah nomor versi adalah

  1. Sulit dilakukan
  2. Keamanan melalui ketidakjelasan
  3. Tidak fleksibel

Yang saya sarankan adalah mengimplementasikan Port Knocking. Ini adalah teknik yang cukup sederhana untuk menyembunyikan apa pun yang sedang berjalan di server Anda.

Ini adalah implementasi yang bagus:http://www.zeroflux.org/projects/knock

Beginilah cara saya menerapkannya di server saya (nomor lain) untuk membuka SSH hanya kepada orang-orang yang mengetahui 'ketukan rahasia':

[openSSH]
    sequence = 300,4000,32
    seq_timeout = 5
    command = /opencloseport.sh %IP% 2305
    tcpflags = syn

Ini akan memberikan jendela 5 detik di mana 3 paket SYN harus diterima dalam urutan yang benar. Pilih port yang saling berjauhan dan tidak berurutan. Dengan begitu, portcanner tidak dapat membuka port secara tidak sengaja. Port ini tidak perlu dibuka oleh iptables.

Skrip yang saya sebut adalah yang ini. Ini membuka port tertentu selama 5 detik untuk IP yang mengirimkan paket SYN.

#!/bin/bash
/sbin/iptables -I INPUT -s $1 -p tcp --dport $2  -j ACCEPT
sleep 5
/sbin/iptables -D INPUT -s $1 -p tcp --dport $2  -j ACCEPT

Sangat merepotkan untuk mengirim paket SYN, jadi saya menggunakan skrip untuk terhubung ke SSH server saya:

#!/bin/bash
knock $1 $2
knock $1 $3
knock $1 $4
ssh [email protected]$1 -p $6

(Cukup jelas apa yang terjadi di sini...)

Setelah sambungan terjalin, port dapat ditutup. Petunjuk:Gunakan Otentikasi kunci. Jika tidak, Anda harus sangat cepat mengetik sandi.


Linux

  1. Pustaka C untuk membaca versi EXE dari Linux?

  2. cara mencegah windows baru mencuri fokus di gnome

  3. Bagaimana mencegah proses dari menulis file

  1. Cara SSH di Linux dari Android

  2. Versi RHEL apa yang saya gunakan?

  3. Bagaimana cara menginstal 2 versi java yang berbeda pada mesin yang sama dari EPEL

  1. Cegah Tmux Memulai Di Ssh?

  2. Atur SFTP dan Cegah SSH di Ubuntu 20.04

  3. Cegah tugas linux yang sedang berjalan dimatikan setelah keluar dari SSH