Вопросы Теги

Повышение безопасности моего удаленного SSH

Mismo problema con OpenSSH _7.7p1 Debian -2, OpenSSL 1.0.2o 27 de marzo de 2018.

Después de degradar ssh con este script:

wget http://ftp.us.debian.org/debian/pool/main/o/openssh/openssh-client_7.4p1-10+deb9u3_amd64.deb
wget http://ftp.us.debian.org/debian/pool/main/o/openssh/openssh-sftp-server_7.4p1-10+deb9u3_amd64.deb
wget http://ftp.us.debian.org/debian/pool/main/o/openssh/openssh-server_7.4p1-10+deb9u3_amd64.deb
dpkg -i *.deb
systemctl restart ssh
systemctl status ssh

Las VPN vuelven a funcionar.

1
14.06.2019, 01:15
4 ответа

Номера портов — это исходные порты, а не конечная часть (22 ).

Для защиты сервера ssh -необходимо отключить аутентификацию на основе пароля. Используйте только аутентификацию на основе ключей, убедитесь, что ключи достаточно длинные и надежно хранятся (, не делитесь закрытыми ключами и не позволяйте им стать известными ).

Методы, использующие брандмауэры, разрешающие только известные IP-адреса и т. д., могут только снизить скорость атаки (снизить нагрузку на сервер ). Однако вы все равно должны убедиться, что у вас есть базовая противопожарная -стена (, возможно, не ограничивающая IP-адрес, так как это может затруднить ее использование. Хотя некоторые из моих устройств ограничены локальным доступом ). Используйте gufw (графический интерфейс для ufw. Нет необходимости изучать командную строку команды, которую вы будете использовать всего несколько раз в год ).

2
28.04.2021, 23:32

Если вы знаете, что два ваших пользователя входят только с небольшого набора IP-адресов, вы можете заблокировать все подключения к порту 22 откуда угодно, кроме этих IP-адресов, с помощью таблиц IP-адресов. Если вы не можете уменьшить диапазон входящих IP-адресов, я бы предложил принудительно использовать ключи SSH для входа в систему и блокировать любые попытки входа с использованием паролей.

1
28.04.2021, 23:32

Вы должны установить fail2ban. проверьте это руководство DigitalOcean, чтобы установить его.https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04

Или разрешите использование ssh только с определенного IP-адреса с помощью брандмауэра. если вы используете Ubuntu, как правило, ufw установлен, просто введите ufw allow from [YOUR IP ADDRESS] to any port 22(, убедитесь, что вы установили ufw активным )или firewalld, если вы используете дистрибутив со вкусом RedHat.

3
28.04.2021, 23:32

Вы можете сделать следующее:

  1. Использование IPTABLES блокирует все входящие подсети/IP-адреса для порта 22, кроме разрешенного
  2. Установить разъединение во время простоя
  3. Запретите прямой вход в систему root из putty, отредактировав файл конфигурации sshd
  4. отслеживать неудачный вход в журналы /var/log/secure и предпринимать действия по исправлению
1
28.04.2021, 23:32

Теги

Похожие вопросы