Professional Documents
Culture Documents
Alterar a porta padrão do serviço SSH: como é de conhecimento de todos (ou pelo menos
da maioria...) o serviço SSH utiliza por padrão a porta TCP 22. Mudando-se a porta
elimina-se grande parte das tentativas de invasão por ataques de dicionário (onde são
testadas as combinações de usuário e senha presentes em uma lista) e Brute Force (onde
são testadas todas as combinações possíveis). Tenha o cuidado de escolher uma porta que
não esteja sendo utilizada por nenhum outro serviço na máquina. Lembre-se também de
editar as configurações de seu firewall para permitir conexões na nova porta após alterar
essa opção. Opção do sshd_config: Port XX, onde XX é o número da porta a ser utilizada.
Não permitir o login do usuário root: como é necessário saber o nome de usuário e a
senha para a conexão, invasores costumam utilizar ataques de dicionário sempre utilizando
o usuário root. Impedindo o login direto com esse usuário aumenta o nível de segurança do
equipamento. Opção do sshd_config: "PermitRootLogin yes", que deve ser alterada para
"PermitRootLogin no"
Não permitir senhas em branco: Nunca, mas realmente nunca habilite a opção de senhas
em branco. Caso necessite fazer cópias automatizadas entre máquinas com SCP, utilize a
autenticação por chaves, com uma chave sem passphrase apenas para esse fim. Opção do
sshd_config: "PermitEmptyPasswords no"
Não permitir o uso de senhas: uma opção razoável é bloquear completamente os logins
interativos (onde digita-se a senha) e fazer autenticação exclusivamente por chaves.
Lembre-se de ter sua chave sempre à mão e obviamente protegida com passphrase (eu
tenho um Pendrive Sony fininho dentro da carteira, e inclusive ele me permite instalar o
Debian com boot via USB). Opção do sshd_config: "PasswordAuthentication no" (o default
é yes).