Anda di halaman 1dari 12

25 trucos de seguridad para servidores Linux

MaloBueno
Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta medida
(el tema es discutible). Sin embargo, Linux tiene un modelo de seguridad incorporado por
defecto. Pero tambin tiene la necesidad de ajustar y personalizarla segn sus necesidades
que te pueden ayudar a hacer que el sistema sea ms seguro. Haciendo Linux ms difcil de
manejar, y ofrece ms flexibilidad y opciones de configuracin.
Asegurar un sistema en produccin de las manos de hackers y crackers es una tarea difcil
para un administrador del sistema. Este es nuestro primer artculo relacionado a "Cmo
proteger el sistema Linux" o "endurecimiento de un Linux". En este post vamos a explicar
25 consejos y trucos tiles para proteger el sistema Linux. Espero, que los consejos y trucos
le ayudarn a ampliar y a proteger sus datos personales.
1. Sistema de Seguridad Fsica
Configure la BIOS para deshabilitar el arranque desde CD / DVD, dispositivos externos,
unidad de disquete en la BIOS. A continuacin, habilite la contrasea del BIOS y tambin
protega GRUB con contrasea para restringir el acceso fsico de su sistema.
1. Establecer contrasea GRUB para proteger los servidores de Linux
2. La creacin de particiones
Es importante tener diferentes particiones para obtener mayor seguridad de los datos en caso
de que si ocurre cualquier desastre. Mediante la creacin de diferentes particiones, los datos
pueden ser separados y agrupados.
Cuando se produce un accidente inesperado, slo los datos de la particin se daarn,
mientras que los datos en otras particiones sobrevivirn. Asegrese de que dispone de las
siguientes particiones separadas y asegurarse de que las aplicaciones de terceros se deben
instalarse en los sistemas de archivos independientes en /opt.
/
/boot
/usr
/var
/home
/tmp
/opt
3. Minimizar Paquetes para minimizar la vulnerabilidad
De verdad quieres todo tipo de servicios instalado?. Se recomienda evitar la instalacin de
paquetes intiles para evitar vulnerabilidades en los paquetes ya instalados. Esto puede
minimizar el riesgo que comprometa un servicio y que puede llevar a comprometer otros
servicios. Encontrar y eliminar o deshabilitar los servicios no deseados del servidor para
minimizar la vulnerabilidad. Utilice el comando "chkconfig" para averiguar los servicios que se
ejecutan en el nivel de ejecucin 3.
# /sbin/chkconfig --list |grep '3:on'
Una vez que hayas averiguado cualquier servicio no deseado que se est ejecutando,
desactivarlos mediante el siguiente comando.
# chkconfig serviceName off
Utilice el gestor de paquetes RPM, como herramientas "yum" o "apt-get" para listar todos los
paquetes instalados en un sistema y eliminarlos mediante el siguiente comando.
# yum -y remove package-name
# sudo apt-get remove package-name
Equivalencias entre DEB y RPM, y tambin APT y YUM para Linux
4. Compruebe Puertos de escucha de red
Con la ayuda de comandos de redes 'netstat' se pueden ver todos los puertos abiertos y los
programas asociados. Como he dicho anteriormente utilizar el comando "chkconfig 'para
desactivar todos los servicios de red no deseados del sistema.
# netstat -tulpn
1. 20 Comandos Netstat para la administracin de red en Linux
5. Use Secure Shell (SSH)
Telnet y rlogin utiliza protocolos de texto plano, sin formato cifrado, de por si, esto ya es un
fallo de seguridad. SSH es un protocolo seguro que usa de la tecnologa de cifrado durante la
comunicacin con el servidor.
Nunca entre directamente como root a menos que sea necesario. Utilice "sudo" para ejecutar
comandos. sudo se especifican en /etc/sudoers tambin puede ser editado con la utilidad
"visudo", que se abre en el editor VI.
Tambin es recomendable cambiar el nmero de puerto 22 por defecto SSH por otro nmero
de puerto ms alto. Abra el archivo principal de configuracin de SSH y edite algunos
parmetros siguientes para evitar que los usuarios tengan acceso.
# vi /etc/ssh/sshd_config
Deshabilitar root Login
PermitRootLogin no
Permitir slo usuarios especficos
AllowUsers username
Usar SSH Protocolo 2 Version
Protocol 2
1. 5 mejores prcticas para asegurar y proteger servidor SSH
6. Mantenga actualizados del sistema
Siempre mantenga el sistema actualizado con los ltimos parches de versiones, revisiones de
seguridad y del ncleo cuando est disponible.
# yum updates
# yum check-update
7. Cronjobs Lockdown
Cron tiene su propia funcin incorporada, donde permite especificar quin puede y quin no lo
desea, ejecutar los trabajos. Esto se controla mediante el uso de archivos llamado
/etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario utilizando cron, slo tiene que
aadir los nombres de usuario en cron.deny y permitir a un usuario ejecutar cron,
complemento en el archivo cron.allow. Si desea desactivar todos los usuarios el uso de cron,
agregue la lnea "ALL" en el archivo cron.deny.
# echo ALL >>/etc/cron.deny
1. 11 Cron Programacin de ejemplos en Linux
8. Desactivar detectar la memoria USB
Muchas veces sucede que queremos restringir a otros usuarios el uso de memoria USB en los
sistemas para proteger y asegurar los datos de ser robados. Cree un archivo /etc/modprobe.d
/no-usb 'y aadiendo a continuacin la lnea no detectar el almacenamiento USB.
install usb-storage /bin/true
9. Active SELinux
Security-Enhanced Linux (SELinux) es un mecanismo de seguridad de control de acceso
obligatorio previsto en el kernel. Deshabilitando SELinux significa la eliminacin de mecanismo
de seguridad del sistema. Piense dos veces antes de desactivarlo, si su sistema est
conectado a Internet y se accede por el pblico, luego considere y piense un poco ms en l.
SELinux proporciona tres modos bsicos de operacin y son.
1. Cumplimiento: Este es el modo por defecto que permitan y hacer cumplir la poltica de
seguridad de SELinux en la mquina.
2. Tolerante: En este modo, SELinux no har cumplir la poltica de seguridad en el
sistema, slo advertir y registrar las acciones. Este modo es muy til en trminos de
resolucin de problemas relacionados con SELinux.
3. Desactivado: SELinux est apagado.
Puede ver el estado actual del modo de SELinux desde la lnea de comandos con "system-
config-selinux 'comandos' sestatus' o 'getenforce '.
# sestatus
Si est deshabilitada, habilite SELinux con el siguiente comando.
# setenforce enforcing
Tambin se puede gestionar desde archivo '/etc/selinux/config /', donde se puede activar o
desactivar.
10. Elimine el escritorio del servidor, sea... KDE / GNOME Desktops
No hay necesidad de ejecutar escritorios X Window como KDE o GNOME en su servidor
dedicado. Puede quitarlo o deshabilitar para aumentar la seguridad de su servidor y
rendimiento. Para desactivarlo, es sencillo abrir el archivo '/etc/inittab' y establezca el nivel de
ejecucin 3. Si desea eliminar por completo del sistema, utilice el comando siguiente.
# yum groupremove "X Window System"
11. Desactivar IPv6
Si usted no est utilizando un protocolo IPv6, debe desactivarlo porque la mayora de las
aplicaciones o polticas no son necesarios para el protocolo IPv6 actualmente. Ir al archivo de
configuracin de red y agregar lneas siguientes pasos para desactivarlo.
# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no
12. Restringir usuarios de utilizar contraseas antiguas
Esto es muy til si desea no permitir que los usuarios utilicen las mismas contraseas. El
archivo de contraseas se encuentra en /etc/security/ opasswd. Esto se puede lograr
mediante el uso de mdulo PAM.
Abrir el archivo '/etc/pam.d/system-auth' bajo RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Archivo en Ubuntu / Debian / Linux Mint Abrir "/etc/pam.d/common-password"
# vi /etc/pam.d/common-password
Agregue la lnea siguiente a la seccin 'auth'.
auth sufficient pam_unix.so likeauth nullok
Agregue la lnea siguiente a la seccin 'password' para no permitir que un usuario vuelva a
utilizar una vieja contrasea.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5
Slo las ltimos 5 contraseas se recuerdan por el servidor. Si se trat de utilizar cualquiera de
las ltimos 5 contraseas antiguas, obtendr un error similar.
Contrasea ya ha sido utilizada. Elija otra.
o
Password has been already used. Choose another.
13. Cmo comprobar la caducidad de la contrasea de usuario
En Linux, las contraseas de usuario se almacenan en el archivo '/etc/shadow' en formato
cifrado. Para comprobar la caducidad de la contrasea de usuario, es necesario utilizar el
comando 'chage'. Muestra informacin de contraseas, detalles de vencimiento junto con la
ltima fecha de modificacin contrasea. Estos datos son utilizados por el sistema para decidir
cuando un usuario debe cambiar su contrasea.
Para ver la informacin de antigedad de cualquier usuario existente como la fecha y hora de
vencimiento, utilice el comando siguiente.
#chage -l username
Para cambiar el envejecimiento de cualquier usuario/contrasea, utilice el siguiente comando.
#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName
Parmetros
1. -M Nmeo el nmero mximo de das
2. -m nmero mnimo de das
3. -W Ajuste el nmero de das de aviso
14. Bloquear y desbloquear cuenta manualmente
El bloqueo y desbloqueo de las funciones son muy tiles, en lugar de eliminar una cuenta del
sistema, se puede bloquear durante una semana o un mes. Para bloquear a un usuario
especfico, puede utilizar el comando siguiente.
# passwd -l accountName
Nota: El usuario bloqueado est disponible slo para el usuario root. El bloqueo se lleva a
cabo mediante la sustitucin de contrasea cifrada con una cadena (!). Si alguien trata de
acceder al sistema utilizando esta cuenta, recibir un error similar al siguiente.
# su - accountName
This account is currently not available.
Para desbloquear o permitir el acceso a una cuenta bloqueada, utilice el comando igualmente.
Esto eliminar (!) Cadena con contrasea cifrada.
# passwd -u accountName
15. La aplicacin de contraseas ms seguras
Varios de los usuarios utilizan contraseas blandas o dbiles y su contrasea puede ser
hackeado con un diccionario base o ataques de fuerza bruta. El mdulo 'pam_cracklib' si
est disponible en PAM (Pluggable Authentication Modules) obligar al usuario establecer
contraseas seguras. Abra el siguiente archivo con un editor.
Lea tambin:
# vi /etc/pam.d/system-auth
Y agregue la lnea con los parmetros de crdito, (lcredit, ucredit, dcredi t y/o ocredit
respectivamente minsculas, maysculas, dgitos y otros)
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
16. Habilitar Iptables (Firewall)
Es altamente recomendable activar el firewall de Linux para garantizar el acceso no
autorizado de sus servidores. Aplicar las reglas de iptables a los filtros de entrada, paquetes
salientes y reenvo. Podemos especificar la direccin de origen y de destino para permitir y
denegar en concreto el nmero de puerto udp / tcp.
1. IPTables Gua y Consejos bsicos
17. Desactivar Ctrl + Alt + Delete en Inittab
En la mayora de las distribuciones de Linux, al pulsar 'CTRL-ALT-DELETE' se lleva el sistema
para reiniciar el proceso. Por lo tanto, no es una buena idea tener esta opcin activada, al
menos en los servidores de produccin.
Esto se define en el archivo '/etc/inittab', si te fijas bien en ese archivo, ver una lnea similar a
la siguiente. Por lnea por defecto no est comentada. Tenemos que comentar a cabo. Este
particular secuencia de teclas de sealizacin ser apagado el sistema.
# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
18. Cuentas para contraseas vacas
Cualquier cuenta con una contrasea vaca significa deja una puerta abierta para el acceso no
autorizado a cualquier persona en la web y es una parte de la seguridad en un servidor Linux.
Por lo tanto, debe asegurarse de que todas las cuentas engan contraseas seguras y nadie
tenga acceso no autorizado. Las cuentas con contraseas vacas son los riesgos de seguridad
y pueden ser fcilmente crackeadas. Para comprobar si haba cuentas con contrasea vaca,
utilice el comando siguiente.
# cat /etc/shadow | awk -F: '($2==""){print $1}'
19. Mostrar SSH Banner Antes Login
Siempre es una buena idea mostrar un aviso legal o banners de seguridad con algunas
advertencias de seguridad antes de la autenticacin en SSH. Para ajustar estos banners leer el
siguiente artculo.
1. Mostrar SSH mensaje de advertencia a los usuarios
20. Supervisar las actividades de los usuarios
Si se trata de un montn de usuarios, entonces es importante recopilar la informacin de cada
uno de las actividades del usuario y procesos consumidos por ellos y analizarlos en un
momento posterior o en caso de cualquier tipo de rendimiento, problemas de seguridad. Pero,
cmo podemos controlar y recopilar informacin de las actividades del usuario.
Hay dos herramientas tiles llamados 'psacct' y 'ACCT' se utilizan para el seguimiento de las
actividades y procesos de usuario en un sistema. Estas herramientas se ejecuta en un fondo
del sistema y hacen un seguimiento continuo de cada actividad del usuario en un sistema y los
recursos consumidos por los servicios como Apache, MySQL, SSH, FTP, etc Para obtener
ms informacin sobre la instalacin, configuracin y uso, visite el siguiente URL.
1. Supervisar la actividad del usuario con psacct o ACCT comandos
21. Revisar los registros con regularidad
Compruebe los registros de log del servidor dedicado, esto evita que los intrusos puedan
modificar fcilmente los registros locales. Estos son los nombres ms comn en Linux por
defecto para los archivos de registro y su uso:
1. /var/log/message - Donde estn disponibles los registros del sistema entero o registros
de actividad actuales.
2. /var/log/auth.log - Registros de autenticacin.
3. /var/log/kern.log - logs del kernel.
4. /var/log/cron.log - logs crond (cron).
5. /var/log/maillog - los registros del servidor de correo.
6. /var/log/boot.log - registro de arranque del sistema.
7. /var/log/mysqld.log - archivo de registro del servidor de bases de datos MySQL.
8. /var/log/secure - registro de autenticacin.
9. /var/log/utmp o /var/log/wtmp: Login archivo de registros.
10. /var/log/yum.lo g: archivos de registro de Yum.
22. Copia de seguridad de archivos importantes
En un sistema de produccin, es necesario tener copias de seguridad de archivos importantes
y mantenerlos en condiciones de seguridad bveda, sitios remotos o fuera de las instalaciones
para recuperacin de desastres.
23. NIC Bonding
Hay dos tipos de modo de unin NIC, deben mencionar en la interfaz de unin.
1. mode = 0 - Round Robin
2. mode = 1 - Activa y Backup
NIC Bonding nos ayuda a evitar puntos de fallo. En unin NIC, que es unir dos o ms tarjetas
de red Ethernet juntos y hacemos una interfaz virtual nico donde se puede asignar una
direccin IP a hablar con otros servidores. Nuestra red estar disponible en el caso de una
tarjeta NIC est inactivo o no est disponible por cualquier motivo.
Lea tambin: Crear NIC Channel Bonding en Linux
24. Mantener / arrancar en modo de slo lectura
Linux kernel y los archivos relacionados se encuentran en el directorio /boot, que es por
defecto como de lectura y escritura. Cambiar a slo lectura reduce el riesgo de modificacin
no autorizada de archivos de arranque crticos. Para ello, abra el archivo "/etc/fstab".
# vi /etc/fstab
Agregue la siguiente lnea en la parte inferior, guardar y cerrar.
LABEL=/boot /boot ext2 defaults,ro 1 2
Tenga en cuenta que usted necesita reiniciar para restablecer el cambio de lectura y escritura
si necesita actualizar el kernel en el futuro.
25. No haga caso de peticin ICMP o Broadcast
Agregue la lnea siguiente en el archivo "/etc/sysctl.conf" para hacer caso omiso de peticin
ping o broadcast.
Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1
Cargar nuevos ajustes o cambios, mediante la ejecucin comando siguiente
#sysctl -p
Si te has perdido alguna nota de seguridad importante o endurecimiento en la lista anterior, o
tienes cualquier otra sugerencia que debe ser incluida en la lista. Por favor deje su comentario
en nuestro apartado de comentarios.
Pronto tendremos disponible la segunda parte.


Escriba primero:
chkconfig --list


# chkconfig --list | grep :on


O simplemente utilizar el siguiente comando para ver los servicios que se activan slo para el
nivel de ejecucin 3.


# chkconfig --list | grep 3:on


A continuacin, podra utilizar un comando como este para eliminar el servicio de puesta en
marcha.


# chkconfig --del 'service-name'


Consejo # 13 - Desinstale X Windows
Considere la posibilidad de la eliminacin total de X Windows en el sistema y slo con la lnea
de comandos para la gestin. No hay nada que usted pueda hacer en la interfaz grfica de
usuario que no se puede hacer uso de la lnea de comandos y la eliminacin no slo va a
mejorar la seguridad, sino tambin el rendimiento porque no se desperdician los recursos del
sistema que muestra la interfaz grfica de usuario.
Consejo # 14 - Secure Kernel Linux
Usted puede asegurar su Kernel Linux modificando el archivo / etc / sysctl.conf, este archivo es
ledo por el ncleo durante el arranque y puede ser editado con los siguientes valores para
aadir seguridad adicional.
# Turn on execshield
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Don't reply to broadcasts. Prevents joining a smurf attack
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Enable protection for bad icmp error messages
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Enable syncookies for SYN flood attack protection
net.ipv4.tcp_syncookies = 1
# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Log spoofed, source routed, and redirect packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# Don't allow source routed packets
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Don't allow outsiders to alter the routing tables
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# Don't pass traffic between networks or act as a router
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0


Consejo # 15 - Instalar los parches del kernel Linux
Usted debe tener una poltica de seguridad para el manejo de los parches del kernel Linux, la
cual debe incluir los anuncios de seguridad de Linux se han recibido las actualizaciones han
sido probados para asegurar que los problemas no se plantean y que los parches se han
instalado en el sistema. Asegrese siempre de que los servidores de produccin se actualizan
con regularidad para evitar cualquier posible vulnerabilidad conocida de la explotacin en el
sistema.
Consejo # 16 - particiones separadas
Debe crear particiones separadas para los directorios de usuario modificable y bloquear el
acceso de escritura y ejecucin a las particiones que no sean necesarios. Usted debe
considerar la colocacin de los siguientes sistemas de archivos en particiones diferentes.
/usr
/home
/var and /var/tmp
/tmp
A continuacin, puede editar el archivo / etc / fstab para impedir la ejecucin de archivos
binarios, desactivar los dispositivos de bloques en la particin y evitar que el / SUID SGID de
ser puesta en los archivos. He aqu una entrada fstab comn para limitar el acceso del usuario
al directorio ftpdata.


/dev/sda5 /ftpdata ext3 defaults,noexec,nodev,nosuid 1 2


Consejo # 17 - Use las extensiones de seguridad de Linux
Hacer uso de software como SELinux, AppArmor o GRSecurity para proporcionar
endurecimiento adicional a su Kernel Linux. Estos productos proporcionan las polticas
adicionales para restringir los procesos y servicios basados en listas de control de acceso.
Consejo # 18 - servidores separados para los servicios
Considerar la creacin de diferentes servidores fsicos o virtuales para diferentes funciones, es
decir, separar su servidor de correo y el servidor web, o el servidor de base de datos y el
servidor de aplicaciones. Esto garantiza que si un determinado servicio se ve comprometida
que est contenido en un solo servidor.
Consejo # 19 - Seguridad fsica de los servidores
Usted puede proteger su servidor lo ms posible de los ataques a distancia, pero si no hacen
nada para proteger el hardware fsico no tiene sentido. Si alguien tiene acceso a su servidor
fsico que puede eliminar el disco duro y acceder a los datos confidenciales o arrancar desde
un CD y acceder a sus datos. Considerar la creacin de una contrasea de BIOS y deshabilitar
el arranque desde CD o USB. Tambin se debe proteger con contrasea el gestor de arranque
(GRUB o LILO, etc) para evitar que los usuarios accedan a modo de usuario nico o entornos
de recuperacin, donde no se requieren contraseas.
Consejo # 20 - Configuracin de NTP
Contar con un sistema de reloj preciso es importante para la revisin de los archivos de registro
y determinar cundo se produjo un evento. A menudo, los relojes del sistema, pueden
producirse problemas de sincronizacin o de ser puesto a una fecha ms antigua y esto puede
causar estragos en el seguimiento de los errores. Considere la posibilidad de crear una tarea
programada en lugar de ejecutar ntpd (ver el consejo # 12) para actualizar la hora del da o por
hora con una fuente comn para todos los servidores.
Consejo # 21 - Monitor de todos los registros
Configuracin de registro y software de auditora de seguimiento de errores y cambios en sus
servidores, tales como auditd y Logwatch / Logcheck. Considere la posibilidad de configurar un
servidor de registro remoto que se actualiza regularmente para protegerse de un intruso poner
en peligro los archivos de registro sin su conocimiento.
Consejo # 22 - Desactivar IPv6
IPv6 es muy rara vez se necesita en esta etapa ya que la mayora slo utiliza el trfico IPv4 e
IPv6 es haber permitido slo una red que necesita para controlar y proteger. Deshabilitar IPv6
es la opcin ms fcil, pero si por alguna razn que lo requieren, entonces debera configurar
un firewall IPv6.
Consejo # 23 - Retire SUID y SGID de archivos
Despus de haber instalado y configurado el sistema y el software que deben ejecutar los
siguientes comandos para buscar todos los archivos y carpetas con el conjunto de SUID, SGID
poco o carpetas mundo puede escribir.
Para encontrar todos los archivos SUID:


# find / -xdev -type f -perm +u=s print


Para encontrar todos los archivos SGID:


# find / -xdev -type f -perm +g=s -print


Para encontrar todos los Dirs Mundial regrabables:


# find / -xdev -perm +o=w ! ( -type d -perm +o=t ) ! -type l -print


A continuacin, debe inspeccionar cada archivo y carpeta para determinar si tienen la
configuracin correcta y si no se utiliza el comando chmod para realizar cambios en ellos.
Consejo # 24 - Cifrar los datos confidenciales
Sus datos se suelen almacenar en un disco duro en un formato no cifrado por lo que cualquier
usuario que tenga acceso al servidor se puede quitar el disco duro e instalarlo en otro sistema y
leer todos sus datos. Usted debe considerar la configuracin de disco Linux o cifrado de la
carpeta ya sea en su casa o directorios carpetas sensibles (es decir, archivos de bases de
datos, correos electrnicos, etc.) Si bien se puede cifrar todo el disco se trata de una gran
cantidad de trabajo y no puede ser vale la pena.
Consejo # 25 - Harden del software
Es bueno tener un servidor Linux de alta seguridad, pero el sistema slo es segura, como el
software que se ejecutan en l. Siempre se debe instalar las ltimas versiones de software y
asegurarse de que estar al da. Tambin la mayora de los programas tienen la manera de
hacerlos ms seguros mediante la edicin de sus archivos de configuracin y desactivar las
partes innecesarias del software. El siguiente es un ejemplo para el endurecimiento de la
configuracin del servidor OpenSSH, slo tiene que aadir lo siguiente a su fichero de
configuracin de OpenSSH.


# Use only SSH Protocol Ver 2
Protocol 2
# Only allow the following users SSH Access
AllowUsers User1 User2 etc
# Deny access to the following users
DenyUsers admin etc
# Set the timeout period for idle sessions (in seconds)
ClientAliveInterval 300
ClientAliveCountMax 0
# Disable .rhosts files
IgnoreRhosts yes
# Disable Host-Based Authentication
HostbasedAuthentication no
# Remove ability to login as Root
PermitRootLogin no
# Change the default SSH Port (Not essential but can help uncomment if you want)
#Port 22
#ListenAddress 192.168.1.1
# Consider CHRooting users to their own directories.
# Subsystem sftp internal-sftp
#Match group sftponly
# ChrootDirectory /home/%u
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand internal-sftp
# Disable empty passwords from login
PermitEmptyPasswords no
# Set your required Log Level (Either INFO or DEBUG)
LogLevel INFO
# Turn on privilege separation
UsePrivilegeSeparation yes
# Prevent the use of insecure home directory and key file permissions
StrictModes yes
# Turn on reverse name checking
VerifyReverseMapping yes
# Do you need port forwarding?
AllowTcpForwarding no
X11Forwarding no
# Specifies whether password authentication is allowed. The default is yes.
PasswordAuthentication no

- See more at: http://www.linux-party.com/index.php/57-seguridad/9032-25-consejos-para-los-
servidores-linux-2-de-2#sthash.a2y4Y57j.dpuf

Anda mungkin juga menyukai