Soru İlk kez bir SSH sunucusunu internete açmak, neleri kontrol etmek


Ben nispeten uzun bir süre için birkaç sunucu çalıştırıyordum, ama ben her zaman sadece onları kiraladı, bu yüzden ben gerçek sunucu güvence (ben üzerinde çalıştığım uygulama aksine) çok fazla deneyimim yok.

Şimdi küçük ev SSH sunucumu internete açmak gibi hissediyorum.

Bunu kullanan tek kişi olacağım, parolalarım yeterince karmaşık, varsayılan SSH portunu 4000 civarında bir şeye dönüştürdüm, tek erişilebilir port benim yönlendirici / güvenlik duvarımdaki port yönlendirme aracılığıyla bu SSH portu ve güncellendi her gece otomatik olarak (Arch Linux, bir yuvarlanma dağıtımını çalıştırır).

Varsa, güvende tutmak için ne yapmalıyım?

Teşekkürler!


9
2018-05-09 22:50


Menşei




Cevaplar:


Kök girişlerinin devre dışı bırakıldığından emin olun PermitRootLogin no. Şifreleri tamamen devre dışı bırakmayı da düşünürdüm PasswordAuthentication no ve ortak anahtarları kullan PubkeyAuthentication yes.


22
2018-05-09 22:57



+1 onu bana dövdü ... - gravyface
Parola kullanacaksanız, iki faktörlü bir kimlik doğrulama sistemine bakmayı deneyebilirsiniz. Aksi takdirde, rastgele bir internet kafe / kütüphane sisteminizde şifrenizi yazmanızı tavsiye ederim. - Mark Wagner
Parola yetkisine izin verirseniz, kaba kuvvet saldırılarını önlemek için fail2ban yüklemeyi düşünün ve ssh üzerinden oturum açmasına izin verilen tüm hesaplar için güçlü parolalar kullanın. - uSlackr
@embobo - neden bu? Tele gönderilen şifreler Hangi ssh içinde şifrelenmiş. Evet, anahtar auth birçok yönden çok daha üstündür, ancak şifreler yeterince güçlü olduğu ve hiç kimsenin omuz sörfü yapmadığı doğrulanırsa, o zaman büyük bir anlaşma değildir. - EEAA
@Erika Bence embobo, herhangi bir yabancı sistemin genel güvensizliğini ima ediyor. SSH şifreli olsa bile, yabancı bir makine hala tuş vuruşlarını kaydedebilir. Böylece şifre = tehlikeye atılmıştır. - rthomson


Sadece SSH-2'ye izin verildiğinden emin olun (SSH-1 biraz güvenlik endişeleri geçmişte):

Protocol 2

SSH ile giriş yapmasına izin verilen tek kullanıcıların hangileri olduğunu belirtin:

AllowUsers bob, john

Daha fazla güvenlik için, parola doğrulamasına izin vermeyin ve ortak anahtar kimlik doğrulamasını kullanın:

PasswordAuthentication no
PubkeyAuthentication yes

Not: bu eğitim Anahtar oluşturma ve genel anahtar kimlik doğrulamasını yapılandırma talimatları içerir.


9
2018-05-10 04:02





Kök girişini devre dışı bırakma veya yalnızca açık anahtar kimlik doğrulamasını kullanma ile ilgili puanların yanı sıra, sistemde önemsiz veya boş parolaları olan hiçbir kullanıcı hesabının olmadığını da iki kez kontrol edebilirim. Kişisel şifrelerinizin iyi olduğunu söylediniz, ancak bu, başka bir nedenden ötürü zayıf bir şifre oluşturulmuş bir hesabı göz ardı etmiyor.

Bir örnek olarak: Bir önceki yöneticinin, tüm sistemlerinde kaynağından nagios'u yüklediğini ve parola veya parola "nagios" olan bir nagios kullanıcısı oluşturduğunu ve daha sonra üç farklı makine almayı başardığım bir ağı düzeltmek zorunda kaldım. ele geçirildi.


5
2018-05-10 00:01





Gibi bir tür IP kara listeye bakmak isteyebilirsiniz http://denyhosts.sourceforge.net/. Başarısız bir şekilde çok fazla oturum açmaya çalışan ve çok yapılandırılabilir IP'leri engeller.


4
2018-05-10 00:09



Kök girişleri devre dışıysa muhtemelen zaman kaybı. Benim deneyimime göre (internette bir SSH sunucusunun 2 yıl), sadece bir çift benim (açık) kullanıcı adımı bile attı. Botlar sadece ortak kullanıcı adlarında açık parolaları kontrol ediyor (sunucumdaki başarısız girişlerin% 99'u root için, tabii ki devre dışı bırakılıyor). - Brendan Long
Kesinlikle zaman kaybı değil - ama fail2ban bir göz atın - symcbean
Fail2ban için +1. - JamesBarnett
root, kontrol edilen tek bariz hesap değildir, yukarıda bahsedildiği gibi nagios'a bakın. Ayrıca mysql ve postgres gibi veritabanı hesapları da vardır. Artı diğer uygulama hesapları. - JamesBarnett
Evet, aslında net olmayan bir parola tahmin eden bir bot tarafından alınan net SSH makinem vardı, bu yüzden kesinlikle bir zaman kaybı değil. Üstelik, böylesi bir karabölgeyi aldığından beri, günlüklere bakıldığında, girişimlerin çok küçük bir yüzdesi aslında kök için. - Lynden Shields


Fail2ban'ı kurmanızı öneririm! http://www.fail2ban.org

X dakikalarını denemeden sonra, scriptkiddies'i kontrol altında tutmaya yardımcı olduktan sonra bir IP'yi yasaklar;)


3
2018-05-11 20:12





Sistemlerinizin ilgili bölümleri / bileşenleri arasında (gerçek / özel yapılandırmasına bağlı olarak) yeniden gözden geçirme günlüğü ...


0
2018-05-09 23:31