Почему SSH имеет небезопасные настройки по умолчанию?

Проверив разрешения и попробовав несколько других решений, перечисленных здесь, я наконец удалил каталог ssh на сервере, снова настроив свой открытый ключ.

Серверные команды:

# rm -rf ~/.ssh

Локальные команды:

# ssh-copy-id user@192.168.1.1        # where <user> is your username and <192.168.1.1> is the server IP
1
18.04.2014, 14:03
3 ответа

Во многих системах ваша единственная точка входа в систему - через ssh. При новой установке без создания учетной записи пользователя единственная учетная запись, которую вы можете иметь, - это root.
Тогда, даже если у вас несколько учетных записей, что делать, если вы используете внешнюю аутентификацию, и ваша система аутентификации дает сбой. Вы должны иметь возможность вернуться в коробку и починить ее.

Вы можете установить PermitRootLogin на без пароля , чтобы работали только ключи ssh, но для этого вам нужно хотя бы один раз войти в систему с паролем, чтобы добавить ssh. ключ.

Помимо того, почему это может понадобиться на начальном этапе, я бы сказал, что обязанность сопровождающего пакета - сделать настройки по умолчанию достаточно безопасными, но при этом работоспособными. Чтобы сделать его максимально безопасным, можно было бы отключить root, заставить его прослушивать порт, отличный от 22, отключить аутентификацию по паролю и т. Д. Оставление root ssh с включенным паролем само по себе не является дырой в безопасности. Это только дыра в безопасности, если у root слабый пароль.
Я бы сравнил это с политикой брандмауэра. Большинство дистрибутивов поставляются без каких-либо включенных правил iptables или настройки sysctl. Размещение сервера в Интернете без настройки любого из них - значительный риск.Владелец сервера должен реализовать политику безопасности, которая соответствует назначению сервера.

3
29.04.2021, 00:41

Наиболее вероятной причиной этих небезопасных значений по умолчанию является ваш дистрибутив. Различные дистрибутивы поставляют разные конфигурации по умолчанию.

С другой стороны, запускать сетевую службу без предварительной настройки может быть плохой идеей.Администраторы, как правило, имеют свои особые потребности и, по крайней мере, смотрят на конфигурацию после установки, если не поставляют свои собственные сценарии.

Атаки грубой силы: Есть и другие способы обнаружения таких атак. Например, IPSET и брандмауэры или даже системы обнаружения вторжений. SSH не нужно изобретать собственное решение.

3
29.04.2021, 00:41

SSH не имеет небезопасных настроек по умолчанию (по крайней мере, не тех, которые вы упомянули).

Протокол 1 был отключен по умолчанию начиная с OpenBSD 4.7 (выпущенной в 2010 году). Даже когда протокол 1 был включен по умолчанию, он использовался только если клиент запрашивал его, а клиент (как, я думаю, и все клиенты, поддерживающие протокол версии 2) использует протокол версии 2, если только сервер не поддерживает его или пользователь явно не запросил версию 1 (а начиная с OpenBSD 4.7, клиент OpenSSH не возвращается к протоколу версии 1 явно).

Разрешение входа root через SSH не является проблемой безопасности. Если это позволяет атаковать, значит, администратор сервера плохо поработал. Не выбирайте угадываемый пароль root! Отключение входа root является усилением - это безопасность в глубину. Оно повышает безопасность, добавляя уровень защиты на случай, если пользователь допустит ошибку. Это хорошая вещь, но она не обязательна.

Если вы не выбираете дурацкие угадываемые пароли, то единственная угроза, которую представляют непрекращающиеся попытки входа в систему¹, - это заполнение раздела журнала.

Ограничение числа попыток входа - это обоюдоострый меч. С одной стороны, это снижает риск того, что злоумышленники угадают слишком простой пароль, и уменьшает пропускную способность, которую они потребляют. С другой стороны, если вам понадобится войти на свой сервер из того же района сети, что и атакующий, а вы установили жесткие ограничения, вы сами станете DoS'ом.

¹ Кстати, не только root попытки входа. Также обычные имена, и обычные имена системных учетных записей, такие как admin, webmaster и т.д.

3
29.04.2021, 00:41

Теги

Похожие вопросы