Aumentando a segurança do seu SSH

Postado por Fabiano Pires

O protocolo SSH é razoavelmente seguro por si próprio. No entanto, existem alguns

procedimentos que podemos fazer com o objetivo de aumentar a segurança em nossos
servidores. Este artigo lista essas ações, bem como quais alterações devem ser feitas no arquivo
de configuração do SSH (tipicamente /etc/ssh/sshd_config):

Alterar a porta padrão do serviço SSH: como é de conhecimento de todos (ou pelo menos
da maioria...) o serviço SSH utiliza por padrão a porta TCP 22. Mudando-se a porta
elimina-se grande parte das tentativas de invasão por ataques de dicionário (onde são
testadas as combinações de usuário e senha presentes em uma lista) e Brute Force (onde
são testadas todas as combinações possíveis). Tenha o cuidado de escolher uma porta que
não esteja sendo utilizada por nenhum outro serviço na máquina. Lembre-se também de
editar as configurações de seu firewall para permitir conexões na nova porta após alterar
essa opção. Opção do sshd_config: Port XX, onde XX é o número da porta a ser utilizada.

Não permitir o login do usuário root: como é necessário saber o nome de usuário e a
senha para a conexão, invasores costumam utilizar ataques de dicionário sempre utilizando
o usuário root. Impedindo o login direto com esse usuário aumenta o nível de segurança do
equipamento. Opção do sshd_config: "PermitRootLogin yes", que deve ser alterada para
"PermitRootLogin no"

Restringir o acesso a usuários ou grupos especificos: você pode limitar o acesso a

usuários específicos, ou ainda a grupos específicos, o que facilita a manutenção pois basta
definir um grupo com acesso no arquivo de configuração do OpenSSH e depois gerenciar os
usuários diretamente no grupo, acrescentado e removendo-os. Inversamente, também é
possivel indicar usuários e grupos a serem barrados em suas tentativas de login. Opções do
sshd_config: AllowUsers, AllowGroups, DenyUsers, DenyGroups. Veja a página de
manual do arquivo sshd_config para mais detalhes (man sshd_config)

Não permitir senhas em branco: Nunca, mas realmente nunca habilite a opção de senhas
em branco. Caso necessite fazer cópias automatizadas entre máquinas com SCP, utilize a
autenticação por chaves, com uma chave sem passphrase apenas para esse fim. Opção do
sshd_config: "PermitEmptyPasswords no"

Não permitir o uso de senhas: uma opção razoável é bloquear completamente os logins
interativos (onde digita-se a senha) e fazer autenticação exclusivamente por chaves.
Lembre-se de ter sua chave sempre à mão e obviamente protegida com passphrase (eu
tenho um Pendrive Sony fininho dentro da carteira, e inclusive ele me permite instalar o
Debian com boot via USB). Opção do sshd_config: "PasswordAuthentication no" (o default
é yes).