Re: Consulta SSH (Seguridad)
Coordenadas temporales: Sun, Jul 10, 2005 at 08:29:15PM -0300 Sujeto: Damian Comunicaba sobre: Consulta SSH (Seguridad) Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH y mucho menos el sistema operativo. Buscando en internet y Opción Banner en sshd_config. man sshd_config para más información. Salu2 -- Creo que hay un mercado mundial para alrededor de cinco computadoras. -- Tomas J. Watson. Fundador de IBM. Usuario Linux Registrado Nº 165454 signature.asc Description: Digital signature
Re: Consulta SSH (Seguridad)
Hola, El lun, 11-07-2005 a las 09:59 +0200, Emilio Santos escribió: Coordenadas temporales: Sun, Jul 10, 2005 at 08:29:15PM -0300 Sujeto: Damian Comunicaba sobre: Consulta SSH (Seguridad) Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH y mucho menos el sistema operativo. Buscando en internet y Opción Banner en sshd_config. man sshd_config para más información. La opción Banner del sshd_config es el banner que te aparece cuando un $ ssh [EMAIL PROTECTED] , no del protocolo al hacer un $ telnet maquina 22 como está consultando Damian. Creo que la forma de conseguirlo es compilarlo, mirando un poco creo que en source del OpenSSH en el archivo ./regress/proto-version.sh está la solución. Pero como dijo anteriormente Blu, no se lograría mucho el aspecto de seguridad, ya que algunos clientes puedan confían en el banner del protocolo. Saludos, Decipher.-
Re: Consulta SSH (Seguridad)
El dom, 10-07-2005 a las 20:29 -0300, Damian escribió: Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ¿tengo otra forma de hacer esto sin volver a compilar? La única manera es recompilar y no sirve para nada, primero porque si alguien trata de utilizar un exploit contra ssh le va a dar igual lo que diga que corre ese puerto, y mucho más si no dice nada. Segundo mira: Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-07-11 12:54 CEST Interesting ports on x.x.org (x.x.x.x): (The 1656 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.8.1p1 (protocol 2.0) 25/tcp open smtpPostfix smtpd 53/tcp open domain ISC Bind 8.4.6-REL-NOESW 80/tcp open httpApache httpd 119/tcp open nntpLeafnode NNTPd 1.11.2.rel 993/tcp open imaps Cyrus imapd 3306/tcp open mysql MySQL 4.0.24_Debian-10-log -- BOFH excuse #391: We already sent around a notice about that. signature.asc Description: This is a digitally signed message part
Re: Consulta SSH (Seguridad)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Damian wrote: Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. ACtualizate a Sarge Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH que ganas con eso? y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ¿tengo otra forma de hacer esto sin volver a compilar? Sinceramente, no tengo idea, supongo que eso podra hacerse a traves de alguna configuracion, pero yo te recomendaria olvidarte de ese asunto y poner atencion a otros mecanismos de seguridad, algunos ya comentados en repetidas ocasiones aqui como: - - En primer lugar deja Woody y vete a Sarge. - - Modifica el puerto 22 a cualquier otro. - - No utilices contraseñas para autenticarte, prefiere intercambio de llaves. - - Utiliza iptables para filtrar el puerto. - - Restrinje los usuarios habilitados - - Restrinje las ip habilitadas (tcpwrappers) Creo no se me olvida ninguno. Con estas medidas, poco importa si el ssh te muestra la version y el SO, lograras un porcentaje de sensacion de seguirdad mucho mas alto que intentando ocultar esa informacion. Salu2 y Muchas Gracias. -- Damian - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFC0mHHkw12RhFuGy4RAgpgAJ40/5S74wLj2gC3sQpig5BzSnkpWgCfV9/z Khjb0DVNlrTes59ZABYa098= =hPpO -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta SSH (Seguridad)
ok, voy a tener en cuenta los consejos, pero me queda una duda: por que pasarme a sarge? no es mejor quedarme en woody y bajar unicamente las actualizaciones de seguridad? Salu2 y Gracias -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Damian wrote: Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. ACtualizate a Sarge Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH que ganas con eso? y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ¿tengo otra forma de hacer esto sin volver a compilar? Sinceramente, no tengo idea, supongo que eso podra hacerse a traves de alguna configuracion, pero yo te recomendaria olvidarte de ese asunto y poner atencion a otros mecanismos de seguridad, algunos ya comentados en repetidas ocasiones aqui como: - - En primer lugar deja Woody y vete a Sarge. - - Modifica el puerto 22 a cualquier otro. - - No utilices contraseñas para autenticarte, prefiere intercambio de llaves. - - Utiliza iptables para filtrar el puerto. - - Restrinje los usuarios habilitados - - Restrinje las ip habilitadas (tcpwrappers) Creo no se me olvida ninguno. Con estas medidas, poco importa si el ssh te muestra la version y el SO, lograras un porcentaje de sensacion de seguirdad mucho mas alto que intentando ocultar esa informacion. Salu2 y Muchas Gracias. -- Damian - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFC0mHHkw12RhFuGy4RAgpgAJ40/5S74wLj2gC3sQpig5BzSnkpWgCfV9/z Khjb0DVNlrTes59ZABYa098= =hPpO -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta SSH (Seguridad)
Q tal: El lun, 11-07-2005 a las 10:06 -0300, Damian escribió: ok, voy a tener en cuenta los consejos, pero me queda una duda: por que pasarme a sarge? no es mejor quedarme en woody y bajar unicamente las actualizaciones de seguridad? Salu2 y Gracias -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Damian wrote: Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. ACtualizate a Sarge Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH Además, no se, pero creo que cualquier cliente de ssh, una vez inicializada la negociación, de las primeras cosas que pregunta es el tipo de servidor: [EMAIL PROTECTED]:~$ ssh -v 192.168.23.10 [...] debug1: Remote protocol version 1.99, remote software version OpenSSH_3.6.1p2 debug1: match: OpenSSH_3.6.1p2 pat OpenSSH_3.* [...] Así es que, no te sirve de nada ocultarlo si luego se va a saber ;) Salud! que ganas con eso? y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ¿tengo otra forma de hacer esto sin volver a compilar? Sinceramente, no tengo idea, supongo que eso podra hacerse a traves de alguna configuracion, pero yo te recomendaria olvidarte de ese asunto y poner atencion a otros mecanismos de seguridad, algunos ya comentados en repetidas ocasiones aqui como: - - En primer lugar deja Woody y vete a Sarge. - - Modifica el puerto 22 a cualquier otro. - - No utilices contraseñas para autenticarte, prefiere intercambio de llaves. - - Utiliza iptables para filtrar el puerto. - - Restrinje los usuarios habilitados - - Restrinje las ip habilitadas (tcpwrappers) Creo no se me olvida ninguno. Con estas medidas, poco importa si el ssh te muestra la version y el SO, lograras un porcentaje de sensacion de seguirdad mucho mas alto que intentando ocultar esa informacion. Salu2 y Muchas Gracias. -- Damian - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFC0mHHkw12RhFuGy4RAgpgAJ40/5S74wLj2gC3sQpig5BzSnkpWgCfV9/z Khjb0DVNlrTes59ZABYa098= =hPpO -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Consulta SSH (Seguridad)
Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ¿tengo otra forma de hacer esto sin volver a compilar? Salu2 y Muchas Gracias. -- Damian -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta SSH (Seguridad)
Quizas si revisaras el archivos sshd.conf podrias ver alguna opcion que te permita ocultar la version, al igual como lo hace Apache. No recuerdo esa opcion, pero podria estar. Saludos.- -- Luis Vega M.Linux Registered User #356394http://es.geocities.com/gdfod
Re: Consulta SSH (Seguridad)
On Sun, Jul 10, 2005 at 08:29:15PM -0300, Damian wrote: Hola, tengo un servidor (Debian Woody) que lo administro por ssh en forma remota. Hace algunos dias me surgio una duda: cuando hago un telnet al puerto 22 me aparece la version del SSH, por ejemplo: SSH 1.99-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3. Mi idea es que no se pueda ver la version que estoy corriendo del SSH y mucho menos el sistema operativo. Buscando en internet y en algunos libros encontre que la unica manera de arreglar esto es cambiando los fuentes y volviendolo a compilar. Esto me traeria una serie de inconvenientes, entre otros: perder la comodidad de las actualizaciones de seguridad de debian. Mi pregunta: ?tengo otra forma de hacer esto sin volver a compilar? No se si se puede hacer sin compilar (nunca he tratado de hacer eso), pero te advierto que en el aspecto seguridad no logras nada pues hay otras maneras de averiguar que sistema operativo, que demonio, e incluso que version del demonio ssh corres. De hecho es raro que un programa dise~ado para intrusear confie en lo que dice el banner. Por el contrario, si quitas el banner, seran algunos legitimos clientes ssh los que quizas tendran algun problema pues estos si confian a menudo en lo que dice el banner y se basan en eso para lidiar con las particularidades de distintos demonios. Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]