1. Servicio SSH
Configuraciones para servicio SSH.
Desactivación del usuario root remoto
sudo sed -i -e $’$\a\\\nPermitRootLogin no’ /etc/ssh/sshd_configDesactivación de algoritmos inseguros
sudo sed -i -e $'$a\\\nCiphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128, aes128-cbc,cast128-cbc,aes192-cbc, aes256-cbc,arcfour, chacha20-poly1305, blowfish-cbc' /etc/ssh/sshd_configReemplazar login directo con login a través de llaves
Crear claves
sudo ssh-keygen -O hashalg=sha512 -t rsa -Z aes256-cbcCopiar claves a un servidor.
sudo ssh-copy_id user@serverDesactivar el acceso por contraseñas
sudo sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/g; s/#PasswordAuthentication no/PasswordAuthentication no/g' /etc/ssh/sshd_configCambiar puerto por defecto (deshabilitar puerto 22)
Cambiar puerto al 2222.
sudo sed -i 's/#Port 22$/Port 2222/g; s/Port 22$/Port 2222/g' /etc/ssh/sshd_configDesactivar puerto 22 por iptables
sudo iptables -A INPUT -p tcp –dport 22 -j DROP
sudo iptables-save | tee /etc/iptables/rules.v4Revisar forzado ssh2
sudo sed -e -i $'$a\\\nProtocol 2' /etc/ssh/sshd_configTiempo de espera de sesión
sudo sed -i -e $'$a\\\nClientAliveInterval 300 # segundos' /etc/ssh/sshd_configMáximos intentos de login y tiempo para completar login
sed -i -e $'$a\\\nMaxAuthTries 3 # intentos' -e $'$a\\\nLoginGraceTime 30 # segundos' /etc/ssh/sshd_configLimitación de usuarios con permisos de uso SSH
sudo sed -e $'$a\\\nAllowUsers usuario1,usuario2,usuario3' /etc/ssh/sshd_configDeshabilitar DNS reversing
sudo sed -i -e $'$a\\\nUseDNS no' /etc/ssh/sshd_configMFA libpam-google-authenticator
Instalar libpam-google-authenticator
sudo amazon-linux-extras install epel -y
sudo yum install google-authenticator -y
google-authenticatorConfigurar servicio PAM códigos MFA
sudo sed -i -e $'$a\\\nauth required pam_google_authenticator.so' /etc/pam.d/sshd
sudo sed -i -e $'$a\\\nChallengeResponseAuthentication yes' /etc/ssh/sshd_configLimitar de conexiones concurrentes vía SSH
sudo sed -i -e $'$a\\\nMaxStartups 1' /etc/ssh/sshd_configLimitar de sesiones concurrentes vía SSH
sudo sed -i -e $'$a\\\nMaxSessions 1' /etc/ssh/sshd_configDeshabilitar autenticación por clave vacía (empty password)
sudo sed -i 's/#PermitEmptyPasswords no/PermitEmptyPasswords no/' /etc/ssh/sshd_configDeshabilitar reenvío de puertos (port forwarding)
sudo sed -i 's/#AllowTcpForwarding yes/AllowTcpForwarding no/' /etc/ssh/sshd_configAuditar el servicio SSH con auditd
auditdsudo auditctl -w /etc/ssh/sshd_config -p wa -k ssh_config_changes`Proteger por permisos archivos de claves privadas SSH
sudo chmod 600 $HOME/.ssh/id_rsaCambiar banner SSH
sudo echo "Unauthorized access to this system is prohibited. Doing so without proper permissions will result in severe legal action." > /etc/issue.net
sudo sed -i 's/#Banner none/Banner \/etc\/issue.net/' /etc/ssh/sshd_configMonitoreo de acceso con Fail2Ban
sudo apt-get install fail2ban
sudo systemctl enable fail2ban.service
sudo systemctl start fail2ban.serviceImplementar reglas de baneo en /etc/fail2ban/jail.local
[DEFAULT]
bantime = 600
maxretry = 3
findtime = 120
...SNIP...
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3Bloquear manualmente una IP
sudo fail2ban-client set sshd banip 10.10.10.10Desbloquear manualmente una IP
sudo fail2ban-client set sshd unbanip 10.10.10.10Verificar IP bloqueada
sudo fail2ban-client status sshd