[Pluto-security] porta 22 aperta - quanto si rischia?

Andrea Dinale pluto-security@lists.pluto.linux.it
Mon, 11 Nov 2002 14:29:13 +0100


Fabio Panigatti wrote:

> Considera che la maggior parte dei recenti rischi per sshd venivano da
> worm. Se non devi offrire servizi ssh al pubblico penso che la cosa da
> fare (oltre a aggiornare sempre sshd) sia mettere in ascolto il demone
> su una porta diversa dalla 22 e notificarlo agli utenti/amministratori
> che devono usarlo. Se poi lo metti anche su una porta fuori dal set di
> default di nmap, tagli via anche un buon numero di umani.

ottimo consiglio! non ci avevo pensato

> Un metodo piu' sofisticato potrebbe prevedere che sul firewall sia in
> esecuzione qualcosa che possa reagire a particolari eventi sulla rete
> (tipo "due pacchetti tcp FIN di 1500 byte sulla porta XX che arrivino
> entro 5 minuti l'uno dall'altro") e che attivi sshd. La scomodita' e'
> che devi scegliere eventi ragionevolmente "creabili" con strumenti di
> facile reperibilita', anche su macchine non tue. Puoi provare a usare
> logsurfer + log di netfilter, ma ci sono molti altri strumenti.
> Personalmente lo trovo inutilmente macchinoso, nella la maggior parte
> delle applicazioni, ma talvolta puo' essere utile.


no, troppo incasinato, è difficie da fare, quindi facile che ci sia un buco.

> Non abilitare il server SSH1 e il fallback a SSH1 e disabilita' tutti
> i sistemi di autenticazione che non usi. Se non hai esigenze precise,
> per me ti conviene usare solo l'autenticazione a chiave pubblica.

mi sembra un otima idea

> Fabio

TNX
Andrea