SSH को इसके संस्करण संख्या के विज्ञापन से रोकें

मैं जिस सर्वर का उपयोग कर रहा हूं वह उबंटू 10.10 है। सुरक्षा सुनिश्चित करने के लिए मैं सर्वर को क्लाइंट को भेजे गए बैनर को संपादित करना चाहता हूं।

यदि मैं पोर्ट 22 पर अपने होस्ट को टेलनेट करता हूं तो यह मुझे SSH का सटीक संस्करण बताता है जो मैं चला रहा हूं (SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4)। स्थिति MySQL और साइरस के साथ समान है।

कोई सुझाव? कम से कम SSH के लिए?

धन्यवाद

लगभग सार्वभौमिक रूप से, पहचानने वाले बैनर संकलित कोड का हिस्सा हैं और उन्हें बदलने या दबाने के लिए कॉन्फ़िगरेशन विकल्प नहीं हैं। आपको सॉफ्टवेयर के उन टुकड़ों को फिर से जोड़ना होगा।

हालांकि आपके SSH डेमॉन के संस्करण संख्या को छिपाना बेहद कठिन है, आप आसानी से लिनक्स संस्करण (डेबियन-3ubuntu4) छिपा सकते हैं

निम्न पंक्ति को इसमें जोड़ें /etc/ssh/sshd_config

DebianBanner no

और अपने SSH डेमॉन को पुनः आरंभ करें: /etc/init.d/ssh restartयाservice ssh restart

उन को छुपाना आपके सर्वर को सुरक्षित नहीं करेगा। आपके सिस्टम को चलाने के लिए फिंगरप्रिंट के कई और तरीके हैं। विशेष रूप से SSH के लिए, संस्करण की घोषणा प्रोटोकॉल का हिस्सा है और इसकी आवश्यकता है।

http://www.snailbook.com/faq/version-string.auto.html

मुझे पूरा यकीन है कि आप वास्तव में संस्करण की घोषणा को नहीं बदल सकते।

Sshd को सुरक्षित करने के सर्वोत्तम तरीके हैं:

1. डिफ़ॉल्ट पोर्ट नंबर बदलें।
2. निषिद्ध रूट लोगन।
3. फोर्स प्रोटोकॉल 2 (यह मानते हुए कि यह डिफ़ॉल्ट रूप से नहीं हुआ है)।
4. उन सर्वरों को श्वेतसूची में जो एसएसएच को अनुमति देते हैं।

पहले तीन में संशोधन / आदि / sshd_config द्वारा किया जा सकता है

चौथा निर्भर करता है कि आप किस फ़ायरवॉल सॉफ़्टवेयर का उपयोग कर रहे हैं।

जैसा कि ऊपर कहा गया है, एक संस्करण संख्या बदलना है

1. करना मुश्किल है
2. अस्पष्टता के माध्यम से सुरक्षा
3. लचीला नहीं है

मेरा सुझाव है कि पोर्ट नॉकिंग को लागू करना। आपके सर्वर पर चल रही किसी भी चीज़ को छिपाने के लिए यह काफी सरल तकनीक है।

यहाँ एक अच्छा कार्यान्वयन है: http://www.zeroflux.org/projects/knock

इस तरह से मैंने अपने सर्वर (अन्य नंबरों) पर एसएसएच को केवल उन लोगों के लिए लागू किया है जो 'गुप्त दस्तक' जानते हैं:

[openSSH]
    sequence = 300,4000,32
    seq_timeout = 5
    command = /opencloseport.sh %IP% 2305
    tcpflags = syn

यह एक 5 सेकंड विंडो देगा जिसमें 3 SYN- पैकेट को सही क्रम में प्राप्त करने की आवश्यकता होती है। ऐसे पोर्ट चुनें जो एक दूसरे से दूर हों और अनुक्रमिक न हों। इस तरह, एक portcanner दुर्घटना से बंदरगाह नहीं खोल सकता है। इन बंदरगाहों को iptables द्वारा खोलने की आवश्यकता नहीं है।

स्क्रिप्ट जिसे मैं कहता हूं वह यह है। यह SYN- पैकेट भेजने वाले IP के लिए 5 सेकंड के लिए एक विशेष पोर्ट खोलता है।

#!/bin/bash
/sbin/iptables -I INPUT -s $1 -p tcp --dport $2  -j ACCEPT
sleep 5
/sbin/iptables -D INPUT -s $1 -p tcp --dport $2  -j ACCEPT

यह SYN- पैकेट भेजने के लिए एक वास्तविक दर्द हो सकता है इसलिए मैं अपने सर्वर के SSH से कनेक्ट करने के लिए स्क्रिप्ट का उपयोग करता हूं:

#!/bin/bash
knock $1 $2
knock $1 $3
knock $1 $4
ssh $5@$1 -p $6

(यह स्पष्ट है कि यहाँ क्या हो रहा है ...)

कनेक्शन स्थापित होने के बाद, पोर्ट को बंद किया जा सकता है। संकेत: कुंजी-प्रमाणीकरण का उपयोग करें। अन्यथा आपको अपना पासवर्ड टाइप करने के लिए बहुत तेज़ होना चाहिए।