Categories
Internet, Unix en security Privacy & veiligheid

SSH beperken met Allow Groups

SSH staat te boek als een veilig protocol en OpenSSH staat te boek als een veilige implementatie daarvan. En niets is minder waar, maar SSH heeft meestal een nadeel en dat is dat de standaard configuratie wordt gebruikt en er vanaf elke IP-adres met de SSH-daemon mag connecten. Standaard mogen dan direct alle gebruikers die het systeem aanwezig zijn aanloggen en hier zit ook het grootste gevaar op dit moment, want veel scanners zijn bezig om te controleren of er geen standaard en/of bekende accounts voorzien zijn van een voorspelbaar wachtwoord.

Gelukkig beschikt OpenSSH over de optie om te bepalen wie er naar binnen mag en hiermee starten is vrij simpel. Men maakt eerst een Unix-groep aan met “groupadd sshusers” en maakt iedereen lid van deze groep die mbv SSH, SCP of SFTP mag inloggen. Hierna voegt met “AllowGroups sshusers” toe aan de configuratie file van OpenSSH. Een herstart van OpenSSH is voldoende om de wijziging voor nieuwe verbindingen actief te maken.

By Hans Spaans

Unix & security consultant with a passion for Linux, Solaris, PostgreSQL, Perl and network services, but also a strong believer in open and free source, standards and content.