Как изменить или убрать приветствие OpenSSH
Порт уже и так нестандартный. Но если телнетнуться к ssh/sftp, то вылазит что-то вроде
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина. Есть еще DebianBanner — установка в «no» убирает инфу об операционке после приветствия. Без него было после SSH-2.0-OpenSSH_7.9p1 еще и название ОС и версия.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина.
А если ман перечитать?
ман не совсем то ли точный, то ли ясный. Строчка из этого файла у меня подставляется после логина и никак не меняет вывод телнета на ssh-порт.
Спасибо, похоже действительно только исходники если патчить.
Не то, мне не нужно приветствие после логина. Мне нужно, чтобы telnet хост порт не выдавал лишнего.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.
Ну ладно, и до и после логина. В любом случае, не об этой инфе речь. По умолчанию, она вообще не выводится.
А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.
Наверное. Но вообще она появляется, если смотреть не ssh-клиентом, а просто телнетом.
А может port knocking, чтобы пока не постучал — sshd был прикрыт?
Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.
Ты хочешь security by obscurity, но это так не работает. Просто обновляй софт вовремя
Ты хочешь security by obscurity, но это так не работает.
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Это не всегда помогает.
Хотелось бы без перекомпиляции исходников поредактировать инфу.
Редактируй бинарник, делов то.
Но ломать тебя будут не глядя на версии, просто будут перебирать уязвимости начиная со свежайшей доступной
Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.
А при чем тут постыдность-то? Ты не путай разные ситуации. «Все сервера» обычно админятся или за зарплату, еще и штатом админов, либо в каких-то проектах профи же или любителем, но с ресурсами времени и сил на них. Да и при том нет-нет, да появляются сообщения, что чего-то подломали. Вон на днях форум проекта OpenWRT взломали, а о скольких взломах публика особо не в курсе. Включая может и хозяев взломанного %)
И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.
Правильно, если сервис публичный или от какой-то компании, то смысла никакого нет.
Но ты вот эти все рассуждения прикладываешь к ситуации организации шары для буквально пары-тройки, ну может чуть больше человек приватным образом в условиях, когда в сущности максимум доступного — это просто вовремя накатывать апдейты от мейнтейнеров дистрибутива.
Почему в этом случае слегка дополнительно не обезопаситься и нестандартным портом и приветствием? Пока например за уже без малого сутки, судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Или еще, вот ты говоришь про вовремя обновляться и патчить дырки. Но что-то героев на этих условиях выставить в обычный интернет samba не особо много (также как и NFS к слову). А ведь тоже, казалось бы она и патчится и обновляется и при правильной настройке пускает только заданных юзеров.
Указанные тобой меры могут отпугнуть разве что школие, и то не любое.
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
судя по логам, никто левый даже не попробовал проверить нестандартный порт — чем этот результат плох?
Тем что самому становится неудобно. Надо подключаться к какому-то левому порту. Парольная аутентификация по SSH это крайняя мера. Используют вообще-то стандартный порт и аутентификацию по ключам
Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.
Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.
И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.
Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.
Надо подключаться к какому-то левому порту.
Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.
Используют вообще-то стандартный порт и аутентификацию по ключам
Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.
Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.
Источник
How to Create a Custom SSH login welcome message
When you login to your Linux servers often you will see an SSH login welcome message. This messages are friendly reminders of system stats, software versions, or just a warning for external cracking intrusions. Today we will help you to create a custom SSH login welcome message for your Linux box.
Create a custom SSH login welcome message
Creating a custom SSH welcome banner is pretty easy, follow this steps.
In order to change SSH welcome banner you will have to edit one single file called motd, it is located at:
On many Linux distributions this file contains the Linux build number, as well as the warranty message (like on Ubuntu). It is not really useful to be honest, you can create a custom SSH login welcome message instead and place anything you like.
One good example of a custom SSH login welcome message is this:
This computer system is for authorized users only. All activity is logged and regularly checked by systems personal. Individuals using this system without authority or in excess of their authority are subject to having all their services revoked.
Any illegal services run by user or attempts to take down this server or its services will be reported to local law enforcement, and said user will be punished to the full extent of the law. Anyone using this system consents to these terms.
That’s all. Logout from your terminal, login again and you’ll see your new custom ssh welcome message.
But hey, we are not finished yet. Let’s explore a more creative way to change your SSH welcome banner.
Custom SSH login welcome message using ASCI
ASCI art can be used to give your SSH welcome banner a little bit more of life, you can setup your custom SSH message by having some nice ASCI banners.
Type your server name, data center name, or company name into the text filed. Then click on the font choice, select “_all fonts with your text_”. Click OK to generate the ASCII art. Review and select the one you like, copy and paste inside your /etc/motd file.
SSH Welcome Banner using ASCI Art
For example, on my cPanelTips.com server I use this custom SSH message:
The result on my server:
Screenshot of Custom SSH Login Welcome Banner
Источник
How to disable ssh motd welcome message on Ubuntu Linux
Fig.01: How to disable motd welcome message after SSH login?
However, Ubuntu Linux uses update-motd which is a dynamic MOTD generation tool. From the man page:
UNIX/Linux system adminstrators often communicate important information to console and remote users by maintaining text in the file /etc/motd, which is displayed by the pam_motd(8) module on interactive shell logins.
Traditionally, this file is static text, typically installed by the distribution and only updated on release upgrades, or overwritten by the local administrator with pertinent information.
- No ads and tracking
- In-depth guides for developers and sysadmins at Opensourceflare✨
- Join my Patreon to support independent content creators and start reading latest guides:
- How to set up Redis sentinel cluster on Ubuntu or Debian Linux
- How To Set Up SSH Keys With YubiKey as two-factor authentication (U2F/FIDO2)
- How to set up Mariadb Galera cluster on Ubuntu or Debian Linux
- A podman tutorial for beginners – part I (run Linux containers without Docker and in daemonless mode)
- How to protect Linux against rogue USB devices using USBGuard
Join Patreon ➔
Ubuntu introduced the update-motd framework, by which the motd(5) is dynamically assembled from a collection of scripts at login.
Executable scripts in /etc/update-motd.d/* are executed by pam_motd(8) as the root user at each login, and this information is concatenated in /var/run/motd. The order of script execution is determined by the run-parts(8) –lsbsysinit option (basically alphabetical order, with a few caveats).
How do I view current scripts?
Type the following cd command:
$ cd /etc/update-motd.d/
$ ls -l
Use the cat command to view scripts:
$ cat 90-updates-available
Sample outputs:
Fig.02: Dynamic MOTD generation scripts on Ubuntu Linux
Источник
Изменяем приветствие в SSH Debian
Все, кто совершал вход в систему Debian через консоль или посредством SSH, видели следующее сообщение: The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
Перевод: Программы, входящие в состав системы Debian GNU/Linux, являются свободными программами; точные условия распространения для каждой программы описаны в отдельных файлах в /usr/share/doc/*/copyright.
Debian GNU/Linux поставляется без каких-либо гарантий, разрешено действующим законодательством.
Один раз прочитать нужно, а в дальнейшем видеть эту информацию не имеет смысла. Можно заменить её на что-то более полезное. Или, например, вывести информативный баннер, а лучше информацию об использовании оперативной памяти или нагрузке на процессор. Так как же изменить приветствие в консоли или в SSH Debian?
Текст об отказе от гарантий находится в файле /etc/motd. Открываем его в текстовом редакторе nano (выполняем с правами root):
И заменяем, содержащуюся в нём информацию, на свою. Например, вносим сведения об организации или об особенностях данного сервера (рабочей станции). Выходим из системы и входим заново. Получилось!
Теперь попробуем вывести баннер. Для этого, сначала надо очистить /etc/motd. Удалять не надо – просто очистить.
# cat /dev/null > /etc/motd
Затем понадобится программа figler. Устанавливаем её через apt или aptitude (кому как нравится):
# aptitude install figlet
Программа figlet выводит в стандартный поток вывода текстовый баннер составленный из символов. Например, команда:
$ figlet -ct aitishnik.ru
Выведет на экран следующий баннер.
Ключ –с выравнивает баннер по центру, а ключ –t устанавливает ширину вывода по ширине экрана. Figlet поддерживает юникод. Т. е. можно сделать баннер на русском языке. Для этого нужно указать ключ –C и использовать соответствующий шрифт -f.
$ figlet -ct -C utf8 -f banner айтишник.ру
Выведет на экран следующий баннер.
Кстати, посмотреть используемые figlet шрифты можно с помощью команды:
Пока о figlet достаточно, а мы продолжим. Нам нужно сделать простейший скрипт, например salute.sh, содержащий вызов figlet с нужными параметрами и разместить его в /etc/profile.d.
С помощью редактора nano сразу создаем его в нужном месте:
Со следующим содержанием:
Сохраняем файл (Ctrl+O, Enter), закрываем редактор (Ctrl+X). Выходим из системы и входим заново. Любуемся результатом!
А теперь давайте выведем в приветствие полезную информацию о файловой системе, загрузке процессора, использовании оперативной памяти и т. д. Для этого нам понадобится другой скрипт. Назовём его sshinfo.sh. Содержимое скрипта взято отсюда.
Сохраняем и закрываем файл. И опять выходим из системы и входим в неё. Полезно, не так ли?
Комбинируя всё то, о чём вы прочитали в этой статье, можно добиться от приветствия хорошей информативности. Надеюсь, статья вам понравилась.
Помните, что у нас вы можете не только купить готовый сайт или заказать его разработку, но и подобрать подходящий тариф поддержки сайта, заказать продвижение сайта в поисковых системах, а так же зарегистрировать домен в одной из двухсот доменных зон и выбрать недорогой тариф хостинга! Айтишник РУ
Источник
