Ochrana SSH démona proti útokům (2)

Další možností jak předejít útokům (úvod do této problematiky a jedno z možných řešení lze nalézt zde) je úplné vypnutí autentizace na základě jména a hesla a používání pouze autentizace na základě klíčů.

Jak to funguje?

Vygenerujeme si na daném klientském počítači (ze kterého se na server/další počítač budeme přihlašovat) pár klíčů (soukromý a veřejný) a veřejný klíč si pomocí bezpečného kanálu (tedy opět přes SSH) zkopírujeme na server. Poté co ověříme funkčnost tohoto způsobu přihlašování, tak na serveru zakážeme přihlášení pomocí jména a hesla. Pro názornost budu klientskou stanici nazývat client a server budu nazývat server. Uživatel bude na obou stanicích stejný (může se samozřejmě lišit, to není podmínkou) - bude se jmenovat ondra.

Nastavení

ondra@client:~$ ssh-keygen -t dsa

Tímto jsme si vytvořili veřejný a soukromý klíč na klientské stanici. Pokud se chcete přihlašovat pod nějakým heslem (pro přesnost - není to klasické heslo, ale passphrase), tak jej zadejte, pokud ne, tak jej zadejte prázdné. Pokud jsme nezměnili adresář pro uložení klíčů, tak je nalezneme v adresáři /home/ondra/.ssh/, kde id_dsa je soubor se soukromým klíčem a id_dsa.pub je soubor s veřejným klíčem. Veřejný klíč následně zkopírujeme na server a přejmenujeme tímto příkazem (záměrně nepoužívám příkaz scp pro kopírování, protože by mohlo dojít k přepsání stávajícího souboru s klíčema):

ondra@client:~$ cat ~/.ssh/id_dsa.pub | ssh ondra@server "cat >> .ssh/authorized_keys"

Tento příkaz nebude fungovat pokud na serveru nemáte vytvořený adresář .ssh. Ještě je víc než vhodné změnit práva souboru authorized_keys (SSH odmítne spojení v případě, že práva na tomto souboru budou příliš benevolentní). Lze to provést zase vzdáleně za pomoci ssh a to takto:

ondra@client:~$ ssh ondra@server chmod 600 .ssh/authorized_keys

Teď už zbývá jen vyzkoušet komunikaci, tzn. připojit se k serveru pomocí příkazu ssh ondra@server. Pokud jste nastavili passphrase, tak po vás bude požadováno její zadání.

Pokud výše uvedené funguje, tak můžeme přistoupit k hlavnímu kroku a tím je zakázání autentizace pomocí hesla a tím zabránění útokům, kdy se útočník snaží periodicky hádat jednoduchá hesla. Autentizace zakážeme na serveru tak, že změníme následující direktivy (v souboru /etc/ssh/sshd_config) na hodnoty no.

PasswordAuthentication no
ChallengeResponseAuthentication no
PermitRootLogin no

Změna volby ChallengeResponseAuthentication na hodnotu no je velice důležitá, protože pokud by byla ponechána zapnutá a systém by využíval pro přihlášení PAM (což u většiny distribucí využívá), tak by přihlášení uživatele, bez ohledu na hodnotu direktivy PasswordAuthentication, probíhalo klasickým způsobem - tedy na základě uživatelského jména a hesla.

Po tomto kompletním nastavení musíme restartovat/reloadnout démona sshd a to například následujícím způsobem:

/etc/init.d/sshd reload

Pokud se přihlásíte ze stanice ze které byl generován klíč, tak bude (po případném zadání passphrase) přihlášení úspěšné. Při přihlašování z jiné (nedůvěryhodné) stanice nám ssh démon odpoví následující hláškou:

Permission denied (publickey,gssapi-with-mic).

což znamená, že naše nastavení je správné.