Как изменить или убрать приветствие OpenSSH

В /etc/ssh/sshd_config есть параметр Banner, но отвечает за то, что выводится после логина.

А если ман перечитать?

А про версию некоторые утверждают, что захардкожено и вообще клиентом используется. https://serverfault.com/questions/216801/prevent-ssh-from-advertising-its-version-number/767445

https://habr.com/ru/post/31199/

ман не совсем то ли точный, то ли ясный. Строчка из этого файла у меня подставляется после логина и никак не меняет вывод телнета на ssh-порт.

Спасибо, похоже действительно только исходники если патчить...

Не то, мне не нужно приветствие после логина. Мне нужно, чтобы telnet хост порт не выдавал лишнего.

У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.

А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.

У меня она появляется до логина. Ман говорит, что она появляется до логина. Нас больше, ты проиграл.

Ну ладно, и до и после логина. В любом случае, не об этой инфе речь. По умолчанию, она вообще не выводится.

А версия в ssh-клиенте не выводится вообще – вангую, она таки действительно часть протокола, поэтому проглатывается.

Наверное. Но вообще она появляется, если смотреть не ssh-клиентом, а просто телнетом.

А может port knocking, чтобы пока не постучал - sshd был прикрыт?

Мне это не нравится. Особенно указания на версии и названия программы. Слишком много вредной инфы выводится. Вредной в смысле облегчения поисков эксплоитов и т.п.

Ты хочешь security by obscurity, но это так не работает. Просто обновляй софт вовремя

Ты хочешь security by obscurity, но это так не работает.

Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.

Просто обновляй софт вовремя

Это не всегда помогает.

Хотелось бы без перекомпиляции исходников поредактировать инфу.

Редактируй бинарник, делов то.

Но ломать тебя будут не глядя на версии, просто будут перебирать уязвимости начиная со свежайшей доступной

Нет, это именно так и работает. Правило означает, что безопасность не должна основываться на незнании, но это не значит, что все надо публично выставлять.

Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.

И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.

Ничего постыдного в этом нет. Все сервера святят версиями и не позволяют настраивать этот параметр. Это нормально. Вместо создания неясности нужно использовать свежий либо патченный от дырок софт.

А при чем тут постыдность-то? Ты не путай разные ситуации. «Все сервера» обычно админятся или за зарплату, еще и штатом админов, либо в каких-то проектах профи же или любителем, но с ресурсами времени и сил на них. Да и при том нет-нет, да появляются сообщения, что чего-то подломали. Вон на днях форум проекта OpenWRT взломали, а о скольких взломах публика особо не в курсе. Включая может и хозяев взломанного %)

И пересаживать SSH на нестандартный порт это тоже школизм. Вместо этого надо использовать аутентификацию по ключам, и никто тебя брутить не будет.

Правильно, если сервис публичный или от какой-то компании, то смысла никакого нет.

Но ты вот эти все рассуждения прикладываешь к ситуации организации шары для буквально пары-тройки, ну может чуть больше человек приватным образом в условиях, когда в сущности максимум доступного - это просто вовремя накатывать апдейты от мейнтейнеров дистрибутива.

Почему в этом случае слегка дополнительно не обезопаситься и нестандартным портом и приветствием? Пока например за уже без малого сутки, судя по логам, никто левый даже не попробовал проверить нестандартный порт - чем этот результат плох?

Или еще, вот ты говоришь про вовремя обновляться и патчить дырки. Но что-то героев на этих условиях выставить в обычный интернет samba не особо много (также как и NFS к слову). А ведь тоже, казалось бы она и патчится и обновляется и при правильной настройке пускает только заданных юзеров.

Указанные тобой меры могут отпугнуть разве что школие, и то не любое.

Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.

И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.

судя по логам, никто левый даже не попробовал проверить нестандартный порт - чем этот результат плох?

Тем что самому становится неудобно. Надо подключаться к какому-то левому порту. Парольная аутентификация по SSH это крайняя мера. Используют вообще-то стандартный порт и аутентификацию по ключам

Если кто-то захочет взломать тебя, его твои пионерские обфускации не смутят.

Конечно. Но стаи тупых ботов простая смена порта уже отваживает. Понятно, что против них все-равно и в первую очередь даже, надо обновляться, но тем не менее.

И не надо сравнивать заведомо публичные защищенные службы типа SSH или HTTPD с Самбой и NFS, у которых защита в прошлом веке еще продумывалась.

Так я не на общую слабость самбы и nfs хочу обратить внимание, а что в каждый текущий момент они как бы защишены. То есть, вроде бы нет никаких дырок, если обновляться.

Надо подключаться к какому-то левому порту.

Это вообще не проблема. Одна дополнительная опция при подключении. Многие клиенты (winscp например) и так имеют поле для ввода номера порта, просто там по умолчанию 22 стоит.

Используют вообще-то стандартный порт и аутентификацию по ключам

Нормальный пароль, сгенерированный pwgen, в плане безопасности чем хуже? Вообще-то, я знаю, что на самом деле хуже, тем что клиентом не проверяется сервер (вернее если проверять отпечаток, то тогда уже и ключи проверять) и упрощается mitm. Но это уже как раз из серии изощренных атак, которые в обычном случае (как у меня) никто не станет делать. А если есть опасение, то конечно ключи должны быть.

Главный риск тут, чтобы не оказалось какой-то 0-day дыры, позволяющей обойтись вообще без аутентификации или проверки ключа/пароля или чего-то в этом роде.

P.S. Ты все конечно правильно говоришь, просто мне кажется на практике с одной стороны можно позволить себе некоторое упрощение с паролями, вместо ключей, а с другой таки заморочиться с нестандартным портом и приветствиями.

С паролем еще могут пролезть через дырявый PAM, если не выключить его.

В смысле? Если отключить PAM, то как логин/пароль будут работать?

Через glibc. Но PAM не только этим занимается, вроде.