Интернет соображения безопасности сервера SSH

Какие шаги я должен взять к довольно безопасному свой рабочий стол Linux прежде, чем открыть sshd для Интернета, таким образом, я могу соединиться откуда-либо?

4
28.09.2011, 21:09
4 ответа

Я настоятельно рекомендовал бы, чтобы Вы использовали ключи RSA, а не пароли для удаленных входов в систему SSH.

Во-вторых, Вы захотите установить Fail2Ban или что-то подобное, чтобы не поддержать усилий взлома грубой силы (хотя снова, отключая аутентификацию по паролю в пользу общедоступной/с закрытым ключом аутентификации RSA для доступа SSH сделал бы это главным образом спорным вопросом),

В-третьих, возможно препятствовать тому, чтобы корень был позволен соединяться через ssh; я рекомендую сделать так и использование sudo после того, как соединенный.

Что касается остальных... Ну, все обычные меры предосторожности при предоставлении доступа к сервису доступным по Интернету применяются, хотя SSH по его характеру, более безопасному, чем большинство.

6
27.01.2020, 20:47
  • 1
    Тщательно продуманный на "обычных мерах предосторожности" –  Steven 29.09.2011, 00:19
  • 2
    Усовершенствуйте свое программное обеспечение, никогда не передавайте ничего чувствительного по недоверяемому соединению, если можно возможно помочь ему, удостоверьтесь, что брандмауэр позволяет только типы соединений, которым Вы намереваетесь доверять через и т.д. –  Shadur 29.09.2011, 00:39

Удостоверьтесь, что Вы сохраняете свой сервер SSH актуальным. OpenSSH имеет хорошую запись безопасности, но Вы не хотите.

Рассмотрите тщательно, необходимо ли позволить аутентификацию по паролю. Обычно необходимо входить в систему только от доверяемых компьютеров (не вводите пароль на компьютере, который может запускать клавиатурный перехватчик), и эти доверяемые компьютеры обычно находятся под контролем и имеют ssh закрытый ключ. Таким образом в большей части аутентификации по паролю обстоятельств не полезно, и необходимо отключить ее. Главная причина запретить аутентификацию по паролю состоит в том, что пользователи бедны в руководящих паролях: они снова используют их (таким образом, пароли пропущены), и они плохи при выборе трудных к предположению паролей (таким образом, пароли вынуждены скотами). Если Вы - единственный пользователь на машине, и Ваш пароль силен, и Вы не используете тот пароль больше нигде, и Вы не имеете и никогда не будете иметь никакого вида тестовой учетной записи с легким к предположению паролем, и Вы никогда не будете открывать счет на друга, то нормально позволять аутентификацию по паролю.

Можно хотеть ограничить группу пользователей, которым разрешают войти в систему по ssh. В частности, отключение корневых логинов может сделать нападения медленнее, если Вы противостоите взломщику низкой и средней изощренности. Это не то, что большое соглашение хотя; возрастание от учетной записи пользователя для укоренения редко является самой твердой частью.

Если Вы можете, сохранить вход в систему отдельной машиной или на медиа только для чтения. Обратите внимание, что существует много ботов, которые выполняют попытки "в лоб" войти в систему с предполагаемыми паролями или слабыми ключами. Эти боты безобидны против правильно защищенной установки (сильные пароли, никакой ключ низкой энтропии), но могут генерировать записи в журнале. Способ в основном избавиться от этих попыток "в лоб" состоит в том, чтобы выполнить ssh на порте не по умолчанию. Обратите внимание, что это - только способ подавить объем журналов (и возможно немного уменьшать трафик от зондирования), это не обеспечивает дополнительной безопасности по сути.

См. также этот подобный вопрос на Exchange Стопки безопасности.

4
27.01.2020, 20:47

Имейте хорошее чтение Укрепляющегося вопроса о Сервере Linux на безопасности stackexchange. Это покрывает от закрытия слабых сервисов и удаления ненужных и устаревших сервисов.

2
27.01.2020, 20:47

Ограничьте SSH-скорость-передачи-соединения и перейдите по ссылке, упомянутой в статье для дальнейшего укрепления ssh-конфигурации. Также Предел sshd для использования только протокола 2 запретите прямой корневой вход в систему через ssh.

Позвольте только Вашей учетной записи входить в систему. Отключите аутентификацию по паролю. Не используйте порт 22. Используйте пароль для своего закрытого ключа.

1
27.01.2020, 20:47

Теги

Похожие вопросы