$_
SSH Toolkit
Home
Tunnels
Hardening
Config
KeyGen
$
Server Hardening
Gere um sshd_config endurecido com score de segurança.
A+
Paranoico
Máxima segurança
A
Equilibrado
Uso geral
B
Permissivo
Lab / testes
A
98/100
Autenticação
Porta SSH
PermitRootLogin
?
Controla se root pode logar via SSH. 'no' é mais seguro. 'prohibit-password' permite root apenas com chave.
no
prohibit-password
forced-commands-only
yes
PubkeyAuthentication
PasswordAuthentication
?
Desabilitar força login apenas por chave, que é imune a ataques de força bruta por senha.
AuthenticationMethods
?
Lista separada por vírgula. Use 'publickey' sozinho, ou 'publickey,keyboard-interactive' para 2FA (requer configuração de PAM).
MaxAuthTries
?
Tentativas de autenticação por conexão. Valores baixos dificultam ataques de força bruta.
LoginGraceTime
(s)
PermitEmptyPasswords
UsePAM
?
Pluggable Authentication Modules. Necessário para autenticação por senha e 2FA. Seguro manter ativado mesmo com login apenas por chave.
Controle de Acesso
AllowUsers
(espaço entre nomes)
?
Apenas estes usuários podem logar. Sobrepõe outros controles de acesso. Deixe vazio para permitir todos.
AllowGroups
DenyUsers
DenyGroups
Rede
ListenAddress
(opcional)
AddressFamily
any
inet (IPv4)
inet6 (IPv6)
ClientAliveInterval
(s)
ClientAliveCountMax
UseDNS
Segurança
X11Forwarding
?
Permite aplicações gráficas via SSH. Desabilite se não precisar — reduz a superfície de ataque.
AllowAgentForwarding
AllowTcpForwarding
?
Permite encaminhamento de portas pelo servidor. Desabilite se os usuários não precisam de túneis SSH.
AllowStreamLocalForwarding
GatewayPorts
no
clientspecified
yes
PermitTunnel
PermitUserEnvironment
PermitUserRC
StrictModes
MaxSessions
MaxStartups
?
Formato: início:taxa:máximo. Após 'início' conexões não autenticadas, começa a rejeitar 'taxa'% aleatoriamente, limite em 'máximo'. Protege contra DDoS.
LogLevel
?
VERBOSE é recomendado para auditoria. DEBUG é verboso mas útil para troubleshooting.
QUIET
FATAL
ERROR
INFO
VERBOSE
DEBUG
Banners
PrintMotd
PrintLastLog
Banner
(caminho do arquivo)
sshd_config
Copiar
Baixar sshd_config
Baixar script de aplicação