Aumentando a segurança do seu SSH

O protocolo SSH é razoavelmente seguro por si próprio. No entanto, existem alguns procedimentos que podemos fazer com o objetivo de aumentar a segurança em nossos servidores. Este artigo lista essas ações, bem como quais alterações devem ser feitas no arquivo de configuração do SSH (tipicamente /etc/ssh/sshd_config):

• Alterar a porta padrão do serviço SSH: como é de conhecimento de todos (ou pelo menos da maioria...) o serviço SSH utiliza por padrão a porta TCP 22. Mudando-se a porta elimina-se grande parte das tentativas de invasão por ataques de dicionário (onde são testadas as combinações de usuário e senha presentes em uma lista) e Brute Force (onde são testadas todas as combinações possíveis). Tenha o cuidado de escolher uma porta que não esteja sendo utilizada por nenhum outro serviço na máquina. Lembre-se também de editar as configurações de seu firewall para permitir conexões na nova porta após alterar essa opção. Opção do sshd_config: Port XX, onde XX é o número da porta a ser utilizada.
  

• Não permitir o login do usuário root: como é necessário saber o nome de usuário e a senha para a conexão, invasores costumam utilizar ataques de dicionário sempre utilizando o usuário root. Impedindo o login direto com esse usuário aumenta o nível de segurança do equipamento. Opção do sshd_config: "PermitRootLogin yes", que deve ser alterada para "PermitRootLogin no"

• Restringir o acesso a usuários ou grupos especificos: você pode limitar o acesso a usuários específicos, ou ainda a grupos específicos, o que facilita a manutenção pois basta definir um grupo com acesso no arquivo de configuração do OpenSSH e depois gerenciar os usuários diretamente no grupo, acrescentado e removendo-os. Inversamente, também é possivel indicar usuários e grupos a serem barrados em suas tentativas de login. Opções do sshd_config: AllowUsers, AllowGroups, DenyUsers, DenyGroups. Veja a página de manual do arquivo sshd_config para mais detalhes (man sshd_config)

• Não permitir senhas em branco: Nunca, mas realmente nunca habilite a opção de senhas em branco. Caso necessite fazer cópias automatizadas entre máquinas com SCP, utilize a autenticação por chaves, com uma chave sem passphrase apenas para esse fim. Opção do sshd_config: "PermitEmptyPasswords no"

• Não permitir o uso de senhas: uma opção razoável é bloquear completamente os logins interativos (onde digita-se a senha) e fazer autenticação exclusivamente por chaves. Lembre-se de ter sua chave sempre à mão e obviamente protegida com passphrase (eu tenho um Pendrive Sony fininho dentro da carteira, e inclusive ele me permite instalar o Debian com boot via USB). Opção do sshd_config: "PasswordAuthentication no" (o default é yes).

Ah, e se você utiliza o Debian, Ubuntu ou um de seus derivados, lembre-se de verificar se suas chaves são afetadas pela vulnerabilidade do pacote openssl . Apenas atualizar a biblioteca não resolve completamente o problema. As chaves que foram geradas com a biblioteca bugada precisam ser descartadas e geradas novamente.