Эффективно справляться с попытками злоумышленного подключения к серверу? (Зарегистрировано как «Соединение закрыто портом xx xx [preauth]» в /var/log/auth.log )?
Вместо объединения системных разделов EFI просто оставьте их отдельными, если у вас есть операционные системы на обоих дисках. Это также обеспечивает возможность независимой загрузки обоих дисков.
Вам нужно, чтобы GRUB обнаруживал операционные системы на других дисках. Для этого установите пакет os-proberи перезапустите grub-mkconfig.
Вы также можете оставить существующие пункты меню UEFI на месте, чтобы при желании всегда можно было загрузить их отдельно.
Лучше всего использовать VPN. Поместите VPN-сервер(OpenVPN , например ), между вашим SSH-сервером и Интернетом. Это довольно просто, независимо от того, находится ли ваш сервер дома или в облаке. Ваш SSH-сервер будет прослушивать только частный IP-адрес для SSH-соединений. Ваш VPN-сервер будет доступен в Интернете (1194/UDP или 943/TCP или 443/TCP ). OpenVPN настолько гибок, что вы можете использовать сертификаты для аутентификации (и избегать паролей ).
Это означает, что вы должны сначала подключиться к VPN, прежде чем попасть на целевой SSH-сервер. Кроме того, SSH-доступ к VPN-серверу должен быть доступен через частный IP-адрес по соображениям безопасности. Это означает, что вы должны сначала подключиться к VPN, прежде чем вы сможете использовать SSH на своем VPN-сервере для целей управления. Но есть риск заблокировать себя, если что-то пойдет не так.
План Б — внести пользователей в белый список в файле sshd_configи убедиться, что они аутентифицируются ТОЛЬКО с использованием ключей ssh. Используйте параметр AllowUsers или AllowGroups . Тем, кто не принадлежит к списку святых, будет отказано в доступе по SSH.
План C заключается в том, чтобы включить двухфакторную аутентификацию (2FA). Пользователи из белого списка должны будут ввести коды двухфакторной аутентификации, прежде чем им будет предоставлен доступ
.Если вы ограничились только аутентификацией с открытым ключом, то, вероятно, все в порядке. (Обратите внимание, что это означает, что вы также должны изменить ChallengeResponseAuthenticationна no. )Для дополнительной безопасности вы также можете отключить PermitRootLogin.
У меня есть сервер, который постоянно сканируется, и я не беспокоюсь об этом, потому что у них нет моего ключа, у меня не включена аутентификация по паролю, и у них нет никакой практической возможности войти.
Вы можете использовать что-то вроде fail2ban, если хотите, но это не обязательно. Если вас устраивает небольшой лог-шум, просто игнорируйте его. Вы также можете вручную добавить проблемные стороны или явно неинтересные сети (, например, телефонную связь в стране, в которую вы никогда не поедете ), в брандмауэр, если они представляют большую проблему.