Serwer, którego używam, to Ubuntu 10.10. Aby zapewnić bezpieczeństwo, chcę edytować baner, który serwer wysyła do klienta.
Jeśli telnet do mojego hosta na porcie 22, powie mi dokładną wersję SSH, którą działam (SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4). Podobnie jest z MySQL i Cyrus.
Jakieś sugestie? Przynajmniej dla SSH?
Dzięki
Odpowiedzi:
Niemal ogólnie banery identyfikujące są częścią skompilowanego kodu i nie mają opcji konfiguracyjnych, aby je zmienić lub pominąć. Będziesz musiał ponownie skompilować te elementy oprogramowania.
źródło
Chociaż ukrywanie numeru wersji demona SSH jest niezwykle trudne, możesz z łatwością ukryć wersję systemu Linux (Debian-3ubuntu4)
Dodaj następujący wiersz do
/etc/ssh/sshd_config
I zrestartuj demona SSH:
/etc/init.d/ssh restart
lubservice ssh restart
źródło
Ukrywanie ich nie zabezpieczy twojego serwera. Istnieje wiele innych sposobów pobierania odcisków palców tego, co działa system. W szczególności w przypadku SSH ogłoszenie wersji jest częścią protokołu i jest wymagane.
http://www.snailbook.com/faq/version-string.auto.html
źródło
Jestem pewien, że tak naprawdę nie można zmienić ogłoszenia o wersji.
Najlepsze sposoby zabezpieczenia sshd to:
Pierwsze trzy można wykonać, modyfikując / etc / sshd_config
Czwarty zależy od używanego oprogramowania zapory.
źródło
Jak wspomniano powyżej, zmiana numeru wersji to
Sugeruję wdrożenie Port Knocking. Jest to dość prosta technika ukrywania wszystkiego, co działa na twoim serwerze.
Oto dobre wdrożenie: http://www.zeroflux.org/projects/knock
W ten sposób zaimplementowałem go na moich serwerach (inne numery), aby otworzyć SSH tylko dla osób, które znają „tajne pukanie”:
To da 5-sekundowe okno, w którym 3 pakiety SYN muszą zostać odebrane w odpowiedniej kolejności. Wybierz porty, które są daleko od siebie i nie są sekwencyjne. W ten sposób skaner portów nie może przypadkowo otworzyć portu. Porty te nie muszą być otwierane przez iptables.
Skrypt, który nazywam, jest tym. Otwiera określony port na 5 sekund dla adresu IP wysyłającego pakiety SYN.
Wysyłanie pakietów SYN może być bardzo uciążliwe, więc używam skryptu do łączenia się z SSH moich serwerów:
(To całkiem oczywiste, co się tutaj dzieje ...)
Po ustanowieniu połączenia port można zamknąć. Wskazówka: Użyj uwierzytelniania klucza. W przeciwnym razie musisz bardzo szybko wpisać swoje hasło.
źródło