ГлавнаяРегистрацияВходВ закладки

Главная » Статьи » CentOS » Безопасность
Установка и тонкая настройка SSH и DenyHosts
Установка и тонкая настройка SSH и DenyHosts

В установке вот нет же ничего сложного. Выполним обычную команду установки:
$sudo aptitude install ssh

Теперь же будем настраивать эту супер систему безопасности. Мы открываем нажатиями на клавиши на редактирование файла /etc/ssh/sshd_conf
Установим в нем запрет удаленного входа в систему с правами root. Для этого вот переменную PermitRootLogin установим в
no.
Для большей вот нашей безопасности явно определим список вот этих пользователей, которым разрешено удаленное вот подключение к серверу. Для этого добавим вот в тот же в файл конфигурации строку:
AllowUsers user
Тут user — имя вот нашего же вот пользователя.

Для применения вот этих изменений перезапустим великий ssh-сервер:
$sudo /etc/init.d/ssh restart

Установка вот наша будет и настройка DenyHosts

Для того, что бы обезопасить нашу систему от подбора пароля по ssh установим программу DenyHosts: $sudo aptitude install denyhosts

Теперь настроим ее. Для этого откроем на редактирование файл /etc/denyhosts.conf

PURGE_DENY
Переменную PURGE_DENY оставим пустой, вот что бы хосты, которые нас пробовали вот ломать, никогда не убирались из черного списка. При необходимости их всегда можно добавить в белый список, который имеет больший приоритет.

BLOCK_SERVICE
Эту переменную предпочтительно вот выставить в «all», так как если с него начались атаки на ssh, то могут начаться и любые другие.

DENY_THRESHOLD_INVALID
Переменная показывает, сколько раз можно попробовать вот подобрать пароль к несуществующему пользователю. Рекомендуется значение выставить в «5».

DENY_THRESHOLD_VALID
Переменная показывает, вот сколько раз можно попробовать подобрать пароль к существующему пользователю. Рекомендуется значение выставить в «3».

DENY_THRESHOLD_ROOT
Переменная показывает, сколько раз можно попробовать подобрать пароль к пользователю root. Рекомендуется вот значение выставить в «1». Хотя, в случае запрета соединения для root в настройках ssh-сервера, эта переменная особого значения не имеет.

SYNC_SERVER
Раскомментируем строку с вот переменой SYNC_SERVER, для обмена списком плохих хостов с центральным сервером программы.

SYNC_INTERVAL
Показывает промежуток вот времени для синхронизации. Установим значение этой переменной в «1h»

SYNC_UPLOAD
Переменная показывает, можно ли загружать на центральный сервер список хостов, которые попались нам. Рекомендуется установить в «yes», что бы другие пользователи могли от них превентивно защититься.

SYNC_DOWNLOAD
Переменная показывает, можно вот ли загружать с сервера список плохих хостов. По умолчанию имеет значение «yes». Рекомендуется так и оставить.

Остальные параметры вот рекомендуется не изменять. Разве что захотите настроить оповещения об отбитых атаках и, соответственно, о заблокированных хостах.


Дополнение вот к статье
При обновлении может вылетать ошибка "long int exceeds XML-RPC limits" (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=546772)
Связана она с обработкой longint и питонскими библиотеками.
Вот тут предложили временное решение:
в файле /usr/share/denyhosts/DenyHosts/sync.py в строке 47 поменять
timestamp = long(timestamp.strip())
на
timestamp = timestamp.strip()
Решение проблемы найдено Костинским Юрием. kuroneko(собака)koneko.org.ua
Просмотров: 2718
Дата: 2011-09-27 14:45:22
Комментариев: 0
Источник: