Sigurimi i SSH server-it.
Kush mbanë një apo më shumë server - të ndryshëm, e di se sa shumë sulme bëhen nga të ashtuquajturit »Script-Kiddies« , 'cracker'-ët e ndryshëm si dhe profesionistë të ndryshëm që mbajnë Bot rrjete. Këto sulme bëhen jo vetëm në serverët publik por edhe në ato privat nëpërmjet skriptave të ndryshme, në të shumtën e rasteve - në mënyrë automatike. Sulme të tilla të ngjashme bëhen edhe te albtux.de, gati për çdo ditë; për fat të mirë timin dhe të lexuesve, deri tani pa sukses; pasi që arrijë ta mbrojë në mënyra të ndryshme!
Të vazhdoj me temën... Këto skripta siq thashë edhe më lartë janë të programuara asisoji që në rastin e SSH (Secure Shell) server-it, si qëllim të parë kanë SSH-Port (22), e cila sulmohet zakonisht me Brute-Force.
Për ta eleminuar një sulm të tillë që në start bëjmë ndërrimin nga 22 psh në 1234. kjo bëhet në /etc/ssh/sshd_config te rreshti:
# What ports, IPs and protocols we listen for
Port 1234
Njëkohësisht nëse përdorni firewall psh iptables, atëherë edhe aty duhet bërë këtë ndryshim të numrit të portës. Metodë tjetër e sulmit është edhe SSH Session Hijacking, e cila shfrytëzon vrimat e sigurisë, apo mos aktualizimin e programit dhe gjëra të tilla të ngjashme. Sulmuesi zakonisht kur sulmon, dëshiron që sa më parë ti ketë të drejtat administrative, pra të bëhet root. Pra, detyra e parë e personit-administratorit, që mbanë një SSH server është që të ndalohet kyçja në server si root. Kjo arrihet nëse parametrin PermitRootLogin te /etc/ssh/sshd_config e kthejmë prej yes në no.Pra kështu:
# Authentication:
PermitRootLogin no
Nëse do që edhe më tutje që në rrjetin lokal të kyçesh si root, atëher kjo mundësohet nëpërmjet opsionit AllowUsers kështu:
LoginGraceTime 600
MaxAuthTries 3
AllowUsers root@*.mydomain alko
Në këtë rast vetëm root dhe alko mund të kyçen në server. Deri sa alko mund të kyçet prej çfardo sistemi, root është i kufizuar vetëm te domeni »mydomain«. Njëkohësisht kufizohet edhe numri i tentimeve për kyçje, që në këtë rast është 3. Nëse këto tentime janë të pasukseshme atëherë ndërprehet lidhja. LoginGraceTime tregon sa sekonda do të jetë lidhja e çkyçur, nëse përdoruesi-tentuesi ka dështuar 3 herë për tu kyçur.
Përveç metodave të sipërshënuara për mbrojtje ekzistojnë edhe system tools të ndryshëm të cilët mundësojnë një gjë të tillë si psh: pam_abl si dhe fail2ban.
Po ndalemi te fail2ban. Ky mjet (tool) në bazë të IP adresës, pas disa tentimeve të pasukseshme për një kohë të caktuar pengon-pamundëson kyçjen në server. Konfigurimi bëhet te: /etc/fail2ban/jail.conf . Pjesa kryesore që neve na intereson për këtë rast është te ssh-iptables:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=user@myhostname, sender=fail2ban@myhostname]
logpath = /var/log/secure
maxretry = 3
Mvarësisht prej shpërndarjes, startohet edhe fail2ban. Në rastin tim Debian GNU/Linux , startimi bëhet me komandën:
/etc/init.d/fail2ban start
Një strategji tjetër e mbrojtjes është edhe knockd me Portknocking. Portknocking mundëson sigurinë e disa shërbimeve të serverit ose sigurinë e plotë të tij.
Konfigurimi i knockd bëhet tek e dhëna: /etc/knockd.conf
[openSSH]
sequence = 1234,2345,3456
seq_timeout = 5
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 1234,2345,3456
seq_timeout = 5
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
Këtu sequence luan një rol shumë të rëndësishëm; kjo tregon portat ku duhet të trokitet.
Startimi i knockd bëhet me këtë komandë:
knockd --debug -verbose
ndërsa trokitja, kështu:
knock serverip 1234 2345 3456
Si përfundim: qëllimi i këtij shkrimi ishte të tregohet se me vetëm disa ndryshime të vogla mund të arrihet një mbrojtje relativisht e madhe. Psh një krahasim i thjeshtë. Nëse dikush di adresën e një personi mirëpo nuk di numrin e shtëpisë, atij i duhet një kohë deri sa ta gjenë atë. Në rastin e portës te SSH është edhe më vështirë, pasi nuk ka kush tju jepë informacione për numrin e shtëpisë si më lartë!