RHEL5, RHEL6, security, SOLLTE
Die Konfiguration des sshd sollte darauf geprüft werden, dass nur SSH Protokoll v2 erlaubt ist, Protokoll v1 ist unsicher:
Nur ausgewählte Benutzern sollten SSH-Zugang bekommen:
Root-Zugang per SSH sollte unterbunden werden, Anweisungen, die Root-Rechte brauchen, sollten per su oder sudo ausgeführt werden:
Für SSH-Sessions sollte ein Idle-Tineout festgesetzt sein (z.B. 5 Minuten):
Die Benutzung des sshd als rshd sollte unterbunden werden:
Host-basierte Authentifizierung sollte nicht gestattet sein:
Login mit leerem Passwort sollte verboten sein:
Das Setzen von Umgebungsvariablen sollte nicht gestattet werden:
Login mittels Passwort sollte nicht gestattet sein, sondern nur Login per SSH-Key:
grep ^PasswordAuthentication /etc/ssh/sshd_config
PasswordAuthentication no
grep ^PubkeyAuthentication /etc/ssh/sshd_config
PubkeyAuthentication yesDer SSH-Daemon sollte nur auf nur auf ausgewählte IP(s) gebunden sein:
SSH-Zugang nur von ausgewählten IPs, Hosts oder Netzwerken zugelassen werden:
grep ^sshd: /etc/hosts.deny
sshd: ALL EXCEPT 10.163.164.161 192.163.164.161
grep „dport 22 “ /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -s 10.163.164.161/32 -m state --state NEW -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.163.164.161/32 -m state --state NEW -p tcp --dport 22 -j ACCEPT