Protezione del servizio SSH con molti utenti inesperti

4

Una delle università che conosco ha una politica di password piuttosto unica. Distribuiscono gli account di shell a tutti gli studenti di informatica con password sicure che non sono modificabili. Viene eseguito tramite il flag passwd -n che imposta il numero minimo di giorni tra le modifiche della password. Un numero abbastanza alto significa essenzialmente che l'utente non potrà mai cambiare la sua password.

Le password vengono quindi sigillate in una busta che può essere aperta solo dallo studente. Gli studenti sono invitati a richiedere una nuova password se il sigillo della busta è rotto.

Quando è stata suggerita questa pratica unica, l'università ha affermato che molti studenti in passato utilizzavano una password debole e alcuni account erano stati compromessi da attacchi di forza bruta.

Un'altra università in un paese molto piccolo usa semplicemente un filtro GeoIP per bloccare tutti i tentativi di forza bruta.

Qualcuno sa di qualsiasi altra pratica che può essere utilizzata per proteggere un servizio SSH che viene utilizzato da molti utenti inesperti?

    
posta limbenjamin 02.08.2015 - 20:42
fonte

1 risposta

2

Suggerisco Fail2ban su tutti i server SSH, specialmente con utenti inesperti. Ciò consente di bloccare qualsiasi IP che non riesce ad accedere troppo spesso (iirc, il default è 10 tentativi in 10 minuti ottiene un IP bloccato per 10 minuti). Questo può essere ora possibile solo con OpenSSH tramite MaxAuthTries , MaxSessions e MaxStartups .

In aggiunta a ciò, suggerirei di eseguire regolarmente John the Ripper sull'hash della password di ogni utente. Se trova la password dell'utente, chiedi all'utente di inviare una guida per password migliori e richiedere all'utente di cambiare la password. (Assicurati di rendere l'email facilmente verificabile, l'ultima cosa che vuoi è che l'utente la scartini come un attacco di phishing!)

Le password che non possono essere modificate sono pericolose. Probabilmente la password è difficile da ricordare, quindi l'utente probabilmente la annota e qualcun altro potrebbe trovare quella nota.

    
risposta data 03.08.2015 - 22:34
fonte

Leggi altre domande sui tag