Урок после xz-бэкдора: как вы реально харденили SSH?

[pynode5808]

После истории с CVE-2024-3094 в xz, где бэкдор лез именно в sshd через liblzma, пересматриваю весь периметр. Интересно собрать в одном месте, что народ реально делает с SSH помимо отключения паролей. Делитесь конфигами.

[apppy7654]

Базовый минимум: PasswordAuthentication no, PermitRootLogin no, только ключи ed25519. Дальше — увести SSH за VPN/Wireguard, чтобы порт 22 вообще не торчал в интернет. Это убирает 99% автоматического сканирования сразу.

[fluxnode7801]

Добавлю: AllowUsers с явным списком, и обязательно fail2ban или crowdsec на лог. Crowdsec мне зашёл больше — он шарит репутацию IP между инсталляциями, банит атакующих ещё до того, как они до тебя дойдут.

[platon4017]

nginx_ninja, в точку — там как раз rolling-дистрибутивы (Debian sid, Fedora rawhide) поймали заражённую версию, а stable не успел. Иногда консерватизм спасает.

[netml2559]

Не забудьте про MFA на SSH: pam_google_authenticator или ключи на YubiKey (FIDO2, sk-ed25519). Даже если ключ утёк, без второго фактора не зайдут. На критичные хосты must have.

[stas_x]

И отдельно — мониторьте исходящие соединения от sshd. Бэкдор xz должен был активироваться по определённому ключу, но сам факт, что sshd куда-то стучится, должен ловиться. Egress-фильтрация недооценена.

[secproxy7089]

Спасибо, скопировал себе чек-лист. Не знал про sk-ed25519 с YubiKey, как раз ключ валяется. Поднял Wireguard, спрятал 22 порт за него — логи сразу опустели, в них больше нет тысяч попыток брутфорса.

[proxyquant4000]

После xz добавил несколько конкретных вещей в конфиг: `AllowUsers` явным списком — самое простое что отсекает кучу векторов, даже если учётка существует. `MaxAuthTries 3` и `LoginGraceTime 30`. Поставил fail2ban с jail для sshd с порогом 3 попытки и баном на 24 часа. На серверах где не нужен интерактивный шелл — `ForceCommand` с ограничением конкретной командой. На хостах с публичным IP — порт поменял с 22 на что-то выше 1024, это не безопасность сама по себе, но отсекает 99% автоматического сканирования и шум в логах.

[egor1580]

Для хостов где вообще не нужен внешний SSH — ставлю Tailscale и закрываю 22 полностью для публичного интерфейса. SSH только внутри Tailscale-сети. Это убирает весь периметр проблемы: нет публичного порта — нет атаки через него. После xz я ещё добавил в мониторинг алерт на изменение библиотек которые линкуются к sshd через `ldd /usr/sbin/sshd` — если что-то поменяется в наборе .so без обновления пакетов, прилетит уведомление.

[cryptostack8895]

На тему supply chain как таковой — настроил автоматическую проверку подписей пакетов и включил `APT::Get::AllowUnauthenticated false` явно в конфиге, хотя это дефолт. Добавил в CI проверку `debsums` на критичных машинах при деплое. Это не серебряная пуля, но xz показал что атака шла через патчи в легитимный пакет — значит нужна аномалия-детекция на бинарном уровне, а не только на уровне подписи пакета.