Linux/OpenSSH の変更点

OpenSSH の変更点

追加された行はこの色です。
削除された行はこの色です。
Linux/OpenSSH へ行く。
Linux/OpenSSH の差分を削除
-[[オフィシャル>http://www.openssh.org/]]

*PGP署名をチェック
-[[Linux/GnuPG]]

*インストール
 tar zxvf openssh-3.8.1p1.tar.gz
 cd openssh-3.8.1p1
 ./configure --prefix=/usr --libexecdir=/usr/libexec/openssh
 make
 make install

*設定
-接続はSSH2プロトコルのみ
-ログイン猶予時間は10秒
-rootのログインを禁止
-ログイン試行可能回数は1
-許可するユーザーはfoo, bar
-拒否するユーザーはroot, admin, user, test, guest, nobody
-未認証段階の接続が1を超えると2/3の確立で接続を拒否し、3になるまで確立は増加、3になった時点で以降の接続要求は拒否する。
 vi /etc/ssh/sshd_config
>
 Protocol 2
 LoginGraceTime 10
 PermitRootLogin no
 PermitEmptyPasswords no
 MaxAuthTries 1
 AllowUsers foo bar
 DenyUsers root admin user test guest nobody
 MaxStartups 1:66:3

*バージョンを隠蔽
バナー情報を減らす。ちなみに以下では百害あって一利なしと言われている (^^;
-[[なぜ OpenSSH はクライアントにバージョン番号を教えるの?>http://www.openssh.com/ja/faq.html#2.14]]
-[[[linux-users:90725] sshd のバージョン番号を知られたくない>http://search.luky.org/linux-users.9/msg00730.html]]

**パッチ
version.h
 --- version.h.orig      2004-08-17 21:47:41.000000000 +0900
 +++ version.h   2004-12-18 09:57:39.000000000 +0900
 @@ -1,3 +1,4 @@
  /* $OpenBSD: version.h,v 1.42 2004/08/16 08:17:01 markus Exp $ */
 
  #define SSH_VERSION    "OpenSSH_3.9p1"
 +#define FAKE_VERSION   "USO_800"

sshd.c
 --- sshd.c.orig	2004-08-12 22:08:15.000000000 +0900
 +++ sshd.c	2004-12-18 09:57:50.000000000 +0900
 @@ -382,7 +382,7 @@
  		major = PROTOCOL_MAJOR_1;
  		minor = PROTOCOL_MINOR_1;
  	}
 -	snprintf(buf, sizeof buf, "SSH-%d.%d-%.100s\n", major, minor, SSH_VERSION);
 +	snprintf(buf, sizeof buf, "SSH-%d.%d-%.100s\n", major, minor, FAKE_VERSION);
  	server_version_string = xstrdup(buf);
  
  	/* Send our protocol version identification. */

**テスト
 telnet 192.168.0.2 22
レスポンス
 Trying 192.168.0.2...
 Connected to 192.168.0.2.
 Escape character is '^]'.
 SSH-2.0-USO_800

OpenSSHのssh, PuTTY, WinSCP では問題なく接続できた。

*X11フォワーディング
リモートホストexample.localからローカルホストへXを転送
 ssh -X example.local

*バージョン
 /usr/bin/ssh -V

*ポート
TCP/UDP 22

*関連
-[[Linux/Swatch]]
-[[Linux/scponly]]

*参考
-[[攻撃者側から見た侵入前の事前調査（下見） - Page2>http://www.atmarkit.co.jp/fsecurity/rensai/iprotect01/iprotect02.html]]
-chrootパッチ [[...James's little home on the web...>http://chrootssh.sourceforge.net/]]
-[[sshd_config.0>http://mail.unixuser.org/~euske/doc/openssh/jman/sshd_config.html]]

*Amazon
#amazon(4756145531,left)
#amazon(4873112044,left)
Top/Linux/OpenSSH

OpenSSH の変更点

Menu

Search

Recent 9

Popular entry

Twitter


AND OR