¿Cómo proteger adecuadamente SSH en 2024?

tag-icon tag-icon linux ssh security openssh sshd
¿Cómo proteger adecuadamente SSH en 2024?

Desde 1995, SSH, en particularServidor OpenSSH[1999], es uno de esos servicios esenciales como DNS [1985] para que los administradores gestionen sus entornos de TI.

¿Cómo puedo proteger adecuadamente un servidor OpenSSH en 2024?

  • Debian 12 conOpenSSH_9.2, OpenSSL 3.0.11 19 Sep 2023
    • Aplicado todorecomendaciones, pasando la prueba estándar y reprobando la prueba "reforzada", diciendo:
      • no le gusta usar[email protected]
      • el servidor utiliza 8192 bits en lugar de 4096(¿más es mejor?)

  • sshd_config: 
    # Ports and Addresses:
  ## it is (probably) advisable to change this to something else but nothing
  ## beyond 1024 privileged ports?
  ## https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

#Port                            = 22
#AddressFamily                   = any
#ListenAddress                   = 0.0.0.0
#ListenAddress                   = ::

Include                         = /etc/ssh/sshd_config.d/*.conf

# Logging
  ## it is disabled per default on Debian maybe because of brute force attacks
  ## spamming the logs?

SyslogFacility                  = AUTH
LogLevel                        = INFO

# Authentication:
Protocol                        = 2
StrictModes                     = yes
LoginGraceTime                  = 3m
MaxAuthTries                    = 3
ClientAliveInterval             = 300
ClientAliveCountMax             = 2

PermitRootLogin                 = no
PermitEmptyPasswords            = no
PubkeyAuthentication            = yes
KbdInteractiveAuthentication    = no
UsePAM                          = no

## not so sure about this one
ChallengeResponseAuthentication = no

## this has no effect?
PasswordAuthentication          = no

## good practice, but is it enough?
AllowUsers                      = username

X11Forwarding                   = no
PrintMotd                       = no
AcceptEnv LANG                  = LC_*
X11Forwarding                   = no

# override default of no subsystems
### Subsystem sftp                  = /usr/lib/openssh/sftp-server

# Ciphers and keying
KexAlgorithms                   = [email protected],curve25519-sha256,[email protected],gss-curve25519-sha256-,diffie-hellman-group16-sha512,gss-group16-sha512-,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256
Ciphers                         = [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs                            = [email protected],[email protected],[email protected]

Respuesta1

Su problema podría ser el mismo que en el informe de error.
Algoritmo desconocido:[correo electrónico protegido]#228.

Si es lo mismo, entonces supuestamente se agregó soporte el 20 de diciembre de 2023 en auditoría ssh v3.1.0.

información relacionada