ideas tomadas del manual de seguridad de debian: http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.1 * ListenAddress 192.168.0.1 Permitir que ssh solo escuche en esa interface (por ejemplo, solo la de la lan)
* PermitRootLogin no Que no puedan entrar como root... así alguien, además de la clave de root necesite averiguar un usuario y una clave para poder entrar (digamos que hace mas lentos los ataques de fuerza bruta) * Port 666 or ListenAddress 192.168.0.1:666 cambiar el puerto de ssh, pero anuncian que esto es seguridad por oscuridad * PermitEmptyPasswords no no dejar que entren con claves vacías * AllowUsers alex ref [EMAIL PROTECTED] solo permitir el acceso a algunos usuarios (en el ejemplo, 'alex', 'ref' y 'me'), desde algunos lugares ('@somewhere') * AllowGroups wheel admin solo permite el acceso a los miembros de esos grupos * PasswordAuthentication yes It is completely your choice what you want to do. It is more secure to only allow access to the machine from users with ssh-keys placed in the ~/.ssh/authorized_keys file. If you want so, set this one to "no". En esto no estoy tan seguro... muchas veces leí por ahí que era mas seguro usar el archivo de claves para no tener que tipearlas (por si la computadora tiene keylogger y esas cosas) * Deshabilitar cualquier tipo de autenticación que no se necesite, si no se está usando, por ejemplo RhostsRSAAuthentication, HostbasedAuthentication, KerberosAuthentication or RhostsAuthentication you should disable them, even if they are already by default (see the manpage sshd_config(5)). * Protocol 2 Apagar la versión 1 del protocolo, parece que es facil de crackear * Banner /etc/some_file Agregar un cartelito para los usuarios que se conecten. En algunos paises hay que agregarlos para tener protección legal(!) de: http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.10 (la subsección 4.10.3) encontré otro interesante para retrasar los ataques de fuerza bruta agregar: FAIL_DELAY 10 a /etc/login.defs, esto es: ponen mal la clave, esperar 10 segundos hasta intentarlo de nuevo...imagina lo que podría tardar un ataque de fuerza bruta que pruebe clave por clave hasta dar con la buena -- http://fishblues.blogspot.com/ http://gonzalor.blogspot.com/ Yo estoy en forma: ¡redondo es una forma!