Запретить SSH рекламировать свой номер версии

13

Я использую Ubuntu 10.10. Для обеспечения безопасности я хочу отредактировать баннер, который сервер отправляет клиенту.

Если я подключусь к своему хосту через порт 22, он сообщит мне точную версию SSH, которую я использую (SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4). С MySQL и Cyrus такая же ситуация.

Какие-либо предложения? По крайней мере, для SSH?

Благодарность

linux security

— Lerikun
источник

5

Я надеюсь, вы также понимаете, что для обеспечения безопасности вашего сервера требуется больше, чем просто удаление этих баннеров.

— Бен Пилброу

10

Эта информация в значительной степени не имеет значения, боты будут пытаться взломать, которые работают на более старой версии, независимо от того, какую информацию о версии предоставляет ваш сервер. Враждебные пользователи, злонамеренно нападающие на ваш сервер, - наименьшее количество ваших забот; Неосторожные пользователи обычно намного опаснее.

— Крис С

Бен, я думаю, я знаю, что я спрашиваю. И я знаю, как защитить NIX-сервер, спасибо. Крис, ходить в темноте тоже хорошо. Независимо от фырканья, iptables fail2bans и т. Д.

— Lerikun

пока вы знаете, что это одно из многих дел, это нормально. Я не хотел, чтобы ты ушел, сделав это, думая, что твоя система очень безопасна, вот и все

— Бен Пилброу

Как указал Auticracy, я хочу, по крайней мере, скрыть "Debian-3ubuntu4".

— Лерикун

17

Почти повсеместно идентифицирующие баннеры являются частью скомпилированного кода и не имеют опций конфигурации для их изменения или подавления. Вам придется перекомпилировать эти части программного обеспечения.

— Джефф Ферланд
источник

Благодарю. Единственный реальный полезный ответ здесь. Как насчет TCP Wrapper, они просто добавляют баннер, но не скрывают фактическую информацию?

— Лерикун

6

Он не только компилируется, но и используется клиентами для определения совместимых уровней соединения.

— Джереми Бауз

32

Хотя скрыть номер версии вашего демона SSH очень сложно, вы можете легко скрыть версию linux (Debian-3ubuntu4)

Добавьте следующую строку в /etc/ssh/sshd_config

DebianBanner no

И перезапустите ваш демон SSH: /etc/init.d/ssh restartилиservice ssh restart

— Харрисон Пауэрс
источник

7

Спасибо, это работает отлично! Я согласен с тем, что удаление информации о версии является безопасным из-за неясности и может создать больше проблем, которые она решает. Вместе с Debian OpenSSH объявляет не только о своей собственной версии, но и о версии и специфике операционной системы - то есть «SSH-2.0-OpenSSH_6.7p1 Raspbian-5 + deb8u3». Поздравляем, без какой-либо аутентификации вы теперь знаете, что разговариваете с RaspberryPi под управлением Raspbian, и ваш следующий очевидный шаг - попытаться подключиться как «пи» с паролем по умолчанию. ИМХО, это раздает ПУТЬ много информации на первом свидании.

— Saustrup

Блестящий, один из лучших скрытых драгоценных камней, найденных здесь.

— Руи Ф Рибейру

19

Сокрытие этих не защитит ваш сервер. Есть еще много способов определить, какая система работает. В частности, для SSH объявление версии является частью протокола и является обязательным.

http://www.snailbook.com/faq/version-string.auto.html

— bahamat
источник

Чем меньше людей узнают о вашей системе ... Вы можете не согласиться. А как насчет других услуг? Я говорю вообще о Cyrus (IMAP / POP3) и MySQL и других. А если есть два админа - мне не нужно придерживаться протокола ?!

— Лерикун

3

@lerikun: Дело не в том, чтобы делиться этим со страшными хакерами. Речь идет о том, что SSH не может подключиться, потому что не знает, какой протокол использовать. SSHD должен объявить.

— Satanicpuppy

9

«Чем меньше людей знают о вашей системе, тем лучше». Да, конечно, это утверждение звучит хорошо, но ничего особенного, например: «Если я выиграю в лотерею, я собираюсь ...». Безопасность через неизвестность - в лучшем случае плохая безопасность.

— Роб Мойр

1

Роберт, это утверждение очень много значит. Почему сейф находится в темной комнате, где никто не может его увидеть? ... Ничего. Я не спрашиваю, как защитить свой сервер. Я думаю, что мой вопрос был ясен. Да самодержавие я хочу хотя бы от них избавиться.

— Лерикун

2

Для чего это стоит, Роберт Моир совершенно прав.

— Sirex

8

Я уверен, что вы не можете изменить объявление о версии.

Лучшие способы защитить sshd:

Измените номер порта по умолчанию.
Запретить вход в систему root.
Принудительный протокол 2 (при условии, что это не сделано по умолчанию).
Белый список серверов, которым разрешен SSH.

Первые три можно сделать, изменив / etc / sshd_config

Четвертый зависит от того, какое программное обеспечение брандмауэра вы используете.

— Satanicpuppy
источник

1/2/3 уже сделано. используя сертификаты без пароля. Fail2ban (IMAP, POP, SMTP, VPN, WEB) и denyhosts (SSH) Вопрос об анонсах версий для других сервисов.

— Лерикун

6

Как сказано выше, изменение номера версии

Трудно сделать
Безопасность через неизвестность
Не гибкий

То, что я предлагаю, это реализация Port Knocking. Это довольно простой способ скрыть все, что работает на вашем сервере.

Вот хорошая реализация: http://www.zeroflux.org/projects/knock

Вот как я реализовал это на своих серверах (другие номера), чтобы открыть SSH только людям, которые знают «секретный стук»:

[openSSH]
    sequence = 300,4000,32
    seq_timeout = 5
    command = /opencloseport.sh %IP% 2305
    tcpflags = syn

Это даст 5-секундное окно, в котором 3 SYN-пакета должны быть получены в правильном порядке. Выберите порты, которые расположены далеко друг от друга и не являются последовательными. Таким образом, сканер портов не может открыть порт случайно. Эти порты не нужно открывать с помощью iptables.

Вот сценарий, который я называю. Он открывает определенный порт на 5 секунд для IP, отправляющего SYN-пакеты.

#!/bin/bash
/sbin/iptables -I INPUT -s $1 -p tcp --dport $2  -j ACCEPT
sleep 5
/sbin/iptables -D INPUT -s $1 -p tcp --dport $2  -j ACCEPT

Отправка SYN-пакетов может быть очень болезненной, поэтому я использую скрипт для подключения к SSH моих серверов:

#!/bin/bash
knock $1 $2
knock $1 $3
knock $1 $4
ssh $5@$1 -p $6

(Совершенно очевидно, что здесь происходит ...)

После того, как соединение установлено, порт можно закрыть. Подсказка: используйте ключ-аутентификацию. В противном случае вам нужно очень быстро вводить пароль.

— Барт Де Вос
источник