এসএসএইচকে এর সংস্করণ নম্বরটির বিজ্ঞাপন দেওয়া থেকে বিরত করুন

আমি যে সার্ভারটি ব্যবহার করছি তা হ'ল উবুন্টু 10.10। সুরক্ষা নিশ্চিত করতে আমি সার্ভার ক্লায়েন্টকে প্রেরিত ব্যানারটি সম্পাদনা করতে চাই।

আমি যদি আমার পোর্ট 22-এ হোস্টে টেলনেট করি তবে এটি আমাকে যে এসএসএইচ চলছে তার সঠিক সংস্করণটি বলে (এসএসএইচ -২.০-ওপেনএসএসএইচ_৩৩.৩১1 দেবিয়ান -3 বুন্টু 4)। মাইএসকিউএল এবং সাইরাস নিয়ে পরিস্থিতি একই রকম।

কোন পরামর্শ? কমপক্ষে এসএসএইচ এর জন্য?

ধন্যবাদ

প্রায় সর্বজনীনভাবে, শনাক্তকরণ ব্যানারগুলি সংকলিত কোডের একটি অংশ এবং এগুলি পরিবর্তন বা দমন করার জন্য কনফিগারেশন বিকল্প নেই। আপনাকে সেই সফ্টওয়্যারগুলির টুকরো পুনরায় সংকলন করতে হবে।

আপনার এসএসএইচ ডেমনটির সংস্করণ নম্বরটি আড়াল করা যেমন কঠিন, আপনি খুব সহজেই লিনাক্স সংস্করণটি আড়াল করতে পারেন (দেবিয়ান -3 বুন্টু 4)

নিম্নলিখিত লাইন যুক্ত করুন /etc/ssh/sshd_config

DebianBanner no

এবং আপনার এসএসএইচ ডেমন পুনরায় চালু করুন: /etc/init.d/ssh restartবাservice ssh restart

এগুলি গোপন করা আপনার সার্ভারকে সুরক্ষিত করবে না। আপনার সিস্টেমটি কী চলছে তা ফিঙ্গারপ্রিন্ট করার আরও অনেকগুলি উপায় রয়েছে। বিশেষত এসএসএইচের জন্য, সংস্করণ ঘোষণাটি প্রোটোকলের অংশ এবং এটি প্রয়োজনীয়।

http://www.snailbook.com/faq/version-string.auto.html

আমি নিশ্চিত যে আপনি প্রকৃতপক্ষে সংস্করণ ঘোষণাকে পরিবর্তন করতে পারবেন না pretty

Sshd সুরক্ষিত করার সর্বোত্তম উপায় হ'ল:

1. ডিফল্ট পোর্ট নম্বর পরিবর্তন করুন।
2. নিষিদ্ধ রুট লগন।
3. প্রোটোকল 2 চাপুন (এটি ডিফল্টরূপে সম্পন্ন হয়নি তা ধরে নেওয়া)।
4. যে সার্ভারগুলিতে এসএসএইচে প্রবেশের অনুমতি রয়েছে সেগুলি হোয়াইটলিস্ট করুন।

প্রথম তিনটি / etc / sshd_config পরিবর্তন করে করা যেতে পারে

চতুর্থ নির্ভর করে আপনি কোন ফায়ারওয়াল সফটওয়্যারটি ব্যবহার করছেন তার উপর।

উপরে যেমন বলা হয়েছে, একটি সংস্করণ নম্বর পরিবর্তন করা

1. কঠিন
2. অস্পষ্টতার মাধ্যমে সুরক্ষা
3. নমনীয় নয়

আমি যা প্রস্তাব করি তা হ'ল পোর্ট নকিং বাস্তবায়ন করা। এটি আপনার সার্ভারে চলছে এমন কোনও কিছু আড়াল করার জন্য মোটামুটি সহজ কৌশল।

এখানে একটি কার্যকর বাস্তবায়ন: http://www.zeroflux.org/projects/knock

এসএসএইচ খোলার জন্য কেবলমাত্র 'গোপনীয় নক' জানেন এমন লোকদের জন্যই আমি এটি আমার সার্ভারগুলিতে (অন্যান্য সংখ্যা) এ প্রয়োগ করেছি:

[openSSH]
    sequence = 300,4000,32
    seq_timeout = 5
    command = /opencloseport.sh %IP% 2305
    tcpflags = syn

এটি একটি 5 সেকেন্ড উইন্ডো দেবে যেখানে 3 টি এসওয়াইএন-প্যাকেটগুলি সঠিক ক্রমে গ্রহণ করা দরকার। একে অপরের থেকে দূরে এবং অনুক্রমিক নয় এমন পোর্টগুলি চয়ন করুন। এইভাবে, কোনও পোর্টস্ক্যানার দুর্ঘটনাক্রমে বন্দরটি খুলতে পারে না। এই পোর্টগুলি iptables দ্বারা খোলার দরকার নেই।

আমি যে স্ক্রিপ্টটি কল করছি এটি এটি। এটি আইপি এসইএনএন-প্যাকেট প্রেরণের জন্য 5 সেকেন্ডের জন্য একটি নির্দিষ্ট বন্দর খোলে।

#!/bin/bash
/sbin/iptables -I INPUT -s $1 -p tcp --dport $2  -j ACCEPT
sleep 5
/sbin/iptables -D INPUT -s $1 -p tcp --dport $2  -j ACCEPT

এসওয়াইএন-প্যাকেটগুলি প্রেরণে এটি সত্যিকারের ব্যথা হতে পারে তাই আমি আমার সার্ভারগুলির এসএসএইচে সংযোগ করতে স্ক্রিপ্টটি ব্যবহার করি:

#!/bin/bash
knock $1 $2
knock $1 $3
knock $1 $4
ssh $5@$1 -p $6

(এখানে কি ঘটছে তা খুব স্পষ্ট ...)

সংযোগ স্থাপনের পরে, বন্দরটি বন্ধ করা যেতে পারে। ইঙ্গিত: কী-প্রমাণীকরণ ব্যবহার করুন। অন্যথায় আপনার পাসওয়ার্ড টাইপ করার জন্য আপনাকে খুব দ্রুত হওয়া দরকার।