SSH mais seguro

Jefferson 'Slackjeff' Carneiro
03/09/2020


O SSH (Secure Shell) é sem dúvidas uma das ferramentas mais interessantes já lançadas, semelhante ao telnet, este software pode se conectar remotamente a um outro computador, atráves de um túnel criptografado... Mas com grandes poderes vem muitas responsabilidades. É importante você fazer algumas configurações básicas para tornar este protocolo mais seguro. Jamais utilize na standard... Sempre faça configurações.

ARQUIVO DE CONFIGURAÇÃO.

O arquivo de configuração do SSH está localizado em /etc/ssh/sshd_config. Para editar este arquivo por ser uma configuração global você precisa se logar como usuário administrador/root. E abra com o seu editor de texto favorito.

# nano /etc/ssh/sshd_config

Altere a porta padrão

A porta padrão utilizada para o SSH é a 22. Normalmente pessoas com interesses dúvidosos vão fazer uma raspagem primeiramente nesta porta, ou na porta 2222. Então *NÃO* utilize estas portas como padrão. Use uma porta mais alta como 2442, 2924 e por ai vai. Faça uma listagem das portas já abertas na sua máquina para não ter conflito. Utilize o comando netstat para fazer a verificação de quais portas estão abertas no momento.

$ netstat -tulpn | grep LISTEN

Para alterar a porta no arquivo sshd_config:
Port 2444

Definir um tempo limite

É interessante definir um tempo limite quando o usuário ficar inativo. Ou seja, se você for o cara que é esquecido esta opção é para você.

ClientAliveInterval 360
ClientAliveCountMax 0

Desative senhas vazias

Senhas vazias não são interessantes usar em um servidor. Sempre desative, isso é obrigatório :)

PermitEmptyPasswords no

Desative login como root

Fazer login como root é um tiro no pé, desative está opção também... Se o usuário precisar logar como root ele já precisa estar dentro do servidor para fazer tal feito.
PermitRootLogin no

Utilize apenas a versão 2 do ssh

A versão 1 do SSH é menos segura, utilize apenas a versão 2.

Protocol 2

Utilize login com chaves

Ao invés de fazer login com senha, o que é um recurso meio medieval, utilize autenticação com chave pública/privada. É o melhor mêtodo.

PasswordAuthentication no