O servidor que estou usando é o Ubuntu 10.10. Para garantir a segurança, desejo editar o banner que o servidor envia ao cliente.
Se eu telnetar para o meu host na porta 22, ele informa a versão exata do SSH que estou executando (SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4). A situação é a mesma com o MySQL e o Cyrus.
Alguma sugestão? Pelo menos para SSH?
obrigado
Respostas:
Quase universalmente, os banners de identificação fazem parte do código compilado e não possuem opções de configuração para alterá-los ou suprimi-los. Você precisará recompilar essas partes do software.
fonte
Embora seja proibitivamente difícil ocultar o número da versão do seu daemon SSH, você pode ocultar facilmente a versão linux (Debian-3ubuntu4)
Adicione a seguinte linha ao
/etc/ssh/sshd_config
E reinicie seu daemon SSH:
/etc/init.d/ssh restart
ouservice ssh restart
fonte
Ocultar aqueles não protegerá seu servidor. Existem muitas outras maneiras de identificar o que seu sistema está executando. Para o SSH em particular, o anúncio da versão faz parte do protocolo e é necessário.
http://www.snailbook.com/faq/version-string.auto.html
fonte
Tenho certeza de que você não pode realmente alterar o anúncio da versão.
As melhores maneiras de proteger o sshd são:
Os três primeiros podem ser feitos modificando / etc / sshd_config
O quarto depende de qual software de firewall você está usando.
fonte
Como dito acima, alterar um número de versão é
O que eu sugiro é implementar o Port Knocking. É uma técnica bastante simples para ocultar qualquer coisa que esteja sendo executada no seu servidor.
Aqui está uma boa implementação: http://www.zeroflux.org/projects/knock
Foi assim que eu o implementei nos meus servidores (outros números) para abrir o SSH apenas para as pessoas que conhecem 'a batida secreta':
Isso dará uma janela de 5 segundos na qual os 3 pacotes SYN precisam ser recebidos na ordem correta. Escolha portas distantes umas das outras e não sequenciais. Dessa forma, um scanner de porta não pode abrir a porta por acidente. Essas portas não precisam ser abertas pelo iptables.
O script que eu chamo é este. Ele abre uma porta específica por 5 segundos para o IP enviar os pacotes SYN.
Pode ser muito difícil enviar pacotes SYN, então eu uso o script para conectar-me ao SSH dos meus servidores:
(É bastante óbvio o que está acontecendo aqui ...)
Depois que a conexão é estabelecida, a porta pode ser fechada. Dica: use a autenticação de chave. Caso contrário, você precisará ser muito rápido para digitar sua senha.
fonte