Интернет соображения безопасности сервера SSH
Я не думаю, что это - возможное использование cut один. Я не мог найти его на информационной странице или человеке. Можно сделать что-то такой как
mytemp=$(mktemp) && cut -d" " -f1 file > $mytemp && mv $mytemp file
mktemp делает Вас относительно безопасным временным файлом, который можно передать по каналу cut вывод в.
Я настоятельно рекомендовал бы, чтобы Вы использовали ключи RSA, а не пароли для удаленных входов в систему SSH.
Во-вторых, Вы захотите установить Fail2Ban или что-то подобное, чтобы не поддержать усилий взлома грубой силы (хотя снова, отключая аутентификацию по паролю в пользу общедоступной/с закрытым ключом аутентификации RSA для доступа SSH сделал бы это главным образом спорным вопросом),
В-третьих, возможно препятствовать тому, чтобы корень был позволен соединяться через ssh; я рекомендую сделать так и использование sudo после того, как соединенный.
Что касается остальных... Ну, все обычные меры предосторожности при предоставлении доступа к сервису доступным по Интернету применяются, хотя SSH по его характеру, более безопасному, чем большинство.
-
1Тщательно продуманный на "обычных мерах предосторожности" – Steven 29.09.2011, 00:19
-
2Усовершенствуйте свое программное обеспечение, никогда не передавайте ничего чувствительного по недоверяемому соединению, если можно возможно помочь ему, удостоверьтесь, что брандмауэр позволяет только типы соединений, которым Вы намереваетесь доверять через и т.д. – Shadur 29.09.2011, 00:39
Удостоверьтесь, что Вы сохраняете свой сервер SSH актуальным. OpenSSH имеет хорошую запись безопасности, но Вы не хотите.
Рассмотрите тщательно, необходимо ли позволить аутентификацию по паролю. Обычно необходимо входить в систему только от доверяемых компьютеров (не вводите пароль на компьютере, который может запускать клавиатурный перехватчик), и эти доверяемые компьютеры обычно находятся под контролем и имеют ssh закрытый ключ. Таким образом в большей части аутентификации по паролю обстоятельств не полезно, и необходимо отключить ее. Главная причина запретить аутентификацию по паролю состоит в том, что пользователи бедны в руководящих паролях: они снова используют их (таким образом, пароли пропущены), и они плохи при выборе трудных к предположению паролей (таким образом, пароли вынуждены скотами). Если Вы - единственный пользователь на машине, и Ваш пароль силен, и Вы не используете тот пароль больше нигде, и Вы не имеете и никогда не будете иметь никакого вида тестовой учетной записи с легким к предположению паролем, и Вы никогда не будете открывать счет на друга, то нормально позволять аутентификацию по паролю.
Можно хотеть ограничить группу пользователей, которым разрешают войти в систему по ssh. В частности, отключение корневых логинов может сделать нападения медленнее, если Вы противостоите взломщику низкой и средней изощренности. Это не то, что большое соглашение хотя; возрастание от учетной записи пользователя для укоренения редко является самой твердой частью.
Если Вы можете, сохранить вход в систему отдельной машиной или на медиа только для чтения. Обратите внимание, что существует много ботов, которые выполняют попытки "в лоб" войти в систему с предполагаемыми паролями или слабыми ключами. Эти боты безобидны против правильно защищенной установки (сильные пароли, никакой ключ низкой энтропии), но могут генерировать записи в журнале. Способ в основном избавиться от этих попыток "в лоб" состоит в том, чтобы выполнить ssh на порте не по умолчанию. Обратите внимание, что это - только способ подавить объем журналов (и возможно немного уменьшать трафик от зондирования), это не обеспечивает дополнительной безопасности по сути.
См. также этот подобный вопрос на Exchange Стопки безопасности.
Имейте хорошее чтение Укрепляющегося вопроса о Сервере Linux на безопасности stackexchange. Это покрывает от закрытия слабых сервисов и удаления ненужных и устаревших сервисов.
Ограничьте SSH-скорость-передачи-соединения и перейдите по ссылке, упомянутой в статье для дальнейшего укрепления ssh-конфигурации. Также Предел sshd для использования только протокола 2 запретите прямой корневой вход в систему через ssh.
Позвольте только Вашей учетной записи входить в систему. Отключите аутентификацию по паролю. Не используйте порт 22. Используйте пароль для своего закрытого ключа.