Protegiendo el servicio SSH con muchos usuarios sin experiencia

4

Una de las universidades que conozco tiene una política de contraseña bastante única. Emiten cuentas shell a todos los estudiantes de informática con contraseñas seguras que no se pueden cambiar. Se realiza a través del indicador passwd -n que establece el número mínimo de días entre los cambios de contraseña. Un número suficientemente alto significa esencialmente que el usuario nunca podrá cambiar su contraseña.

Las contraseñas se sellan en un sobre que solo el estudiante puede abrir. Se recuerda a los estudiantes que soliciten una nueva contraseña si el sello del sobre está roto.

Cuando se le preguntó sobre esta práctica única, la universidad mencionó que en el pasado muchos estudiantes usaron una contraseña débil y varias cuentas se vieron comprometidas a través de ataques de fuerza bruta.

Otra universidad en un país muy pequeño simplemente usa un filtro GeoIP para bloquear todos los intentos de fuerza bruta.

¿Alguien sabe de alguna otra práctica que pueda usarse para proteger un servicio SSH que es usado por muchos usuarios inexpertos?

    
pregunta limbenjamin 02.08.2015 - 20:42
fuente

1 respuesta

2

Sugiero Fail2ban en todos los servidores SSH, especialmente con usuarios inexpertos. Esto le permite bloquear cualquier IP que no pueda iniciar sesión con demasiada frecuencia (iirc, el valor predeterminado es 10 intentos en 10 minutos; se bloquea una IP durante 10 minutos). Esto ahora puede ser posible con solo OpenSSH a través de MaxAuthTries , MaxSessions y MaxStartups .

Además de eso, sugiero que se ejecute regularmente John the Ripper en el hash de contraseña de cada usuario. Si encuentra la contraseña del usuario, pídale que le envíe por correo electrónico una guía para obtener mejores contraseñas y solicite al usuario que cambie la contraseña. (Asegúrese de que el correo electrónico sea fácilmente verificable; ¡lo último que desea es que el usuario lo descarte como un ataque de suplantación de identidad)!

Las contraseñas que no se pueden cambiar son peligrosas. Es probable que la contraseña sea difícil de recordar, por lo que el usuario probablemente la escriba y otra persona podría encontrar esa nota.

    
respondido por el Adam Katz 03.08.2015 - 22:34
fuente

Lea otras preguntas en las etiquetas