İlk kez bir SSH sunucusunun internete açılması, kontrol edilmesi

9

Nispeten uzun bir süredir birkaç sunucu çalıştırıyorum, ancak her zaman onları kiraladım, bu yüzden gerçek sunucuyu güvence altına almak için çok fazla deneyimim yok (üzerinde çalıştığım uygulamanın aksine).

Şimdi küçük ev SSH sunucumu internete açmak istiyorum.

Bunu kullanan tek kişi olacağım, şifrelerim yeterince karmaşık, varsayılan SSH bağlantı noktasını 4000 civarında bir şeye değiştirdim, tek erişilebilir bağlantı noktası yönlendiricim / güvenlik duvarımdaki bağlantı noktası iletme yoluyla bu SSH bağlantı noktası ve güncelleniyor otomatik olarak her gece (Arch Linux, yuvarlanan sürüm dağıtımı çalıştırır).

Güvende tutmak için yapmam gereken başka şeyler nelerdir?

Teşekkürler!

security  ssh  linux 
houbysoft
kaynak

Yanıtlar:

22

Kök girişlerinin devre dışı bırakıldığından emin olun PermitRootLogin no. Ayrıca şifreleri tamamen devre dışı bırakmayı PasswordAuthentication nove ortak anahtarları kullanmayı düşünürüm PubkeyAuthentication yes.

chx
kaynak
+1 beni dövdü ...
gravyface
1
Parola kullanacaksanız, iki faktörlü bir kimlik doğrulama sistemine bakmayı deneyebilirsiniz. Değilse, rastgele bir internet kafe / kütüphane sistemine şifrenizi yazmamanızı tavsiye ederim.
Mark Wagner
4
Şifre doğrulamasına izin verirseniz, kaba kuvvet saldırılarını önlemek için
fail2ban yüklemeyi düşünün
@embobo - neden böyle? Tel üzerinden gönderilen şifreler ssh olarak şifrelenir. Evet, anahtar kimlik doğrulaması birçok yönden çok daha üstündür, ancak şifreler yeterince güçlü olduğu ve kimsenin omuz sörfü yapmadığını doğruladığınız sürece, bu büyük bir anlaşma değildir.
EEAA
3
@Erika Bence embobo herhangi bir yabancı sistemin genel güvensizliğini ifade ediyor. SSH şifreli olsa da, yabancı bir makine hala tuş vuruşlarınızı kaydedebilir. Böylece şifre = güvenli.
rthomson
9

Yalnızca SSH-2'ye izin verildiğinden emin olun (SSH-1 geçmişte bazı güvenlik endişelerini gündeme getirdiğinden ):

Protocol 2

Yalnızca SSH üzerinden giriş yapabilen kullanıcıların hangileri olduğunu belirtin:

AllowUsers bob, john

Daha fazla güvenlik için şifre kimlik doğrulamasına izin vermeyin ve ortak anahtar kimlik doğrulamasını kullanın:

PasswordAuthentication no
PubkeyAuthentication yes

Not: Bu eğiticide anahtarlar oluşturma ve ortak anahtar kimlik doğrulamasını yapılandırma talimatları yer almaktadır.

bambam
kaynak
5

Kök girişini devre dışı bırakma veya yalnızca ortak anahtar kimlik doğrulamasını kullanma ile ilgili noktaların yanı sıra, sistemde önemsiz veya boş parolalara sahip kullanıcı hesabı bulunmadığını da iki kez kontrol ederim. Kişisel şifrelerinizin iyi olduğunu söylediniz, ancak bu, başka bir nedenden dolayı oluşturulmuş kötü bir şifreye sahip bir hesabı hariç tutmaz.

Örnek olarak: Önceki yöneticinin tüm sistemlerine nagios'u kaynaktan yüklediği ve parolasız veya "nagios" parolası olmayan bir nagios kullanıcısı oluşturduğum ve daha sonra üç farklı makine almaya devam ettiğim bir ağı düzeltmek zorunda kaldım. sınırlı.

Daniel Lawson
kaynak
4

Http://denyhosts.sourceforge.net/ gibi bir tür IP kara liste aracına bakmak isteyebilirsiniz . Başarısız olarak çok fazla oturum açmaya çalışan ve son derece yapılandırılabilir olan IP'leri engeller.

Lynden Kalkanları
kaynak
Kök girişleri devre dışı bırakılmışsa muhtemelen zaman kaybıdır. Deneyimlerime göre (internette bir SSH sunucusunun 2 yıllık yılı), sadece bir çift bile (bariz) kullanıcı adımı doğru buldu. Botlar sadece yaygın kullanıcı adlarındaki bariz şifreleri kontrol ediyor (sunucumdaki başarısız oturum açma işlemlerinin% 99'u elbette devre dışı bırakılan root içindir).
Brendan Uzun
4
Kesinlikle
Fail2ban için +1.
JamesBarnett
1
botların kontrol ettiği tek açık hesap root değildir, yukarıda belirtildiği gibi nagios'a bakın. Ayrıca mysql ve postgres gibi veritabanı hesapları da vardır. Artı diğer uygulama hesapları.
JamesBarnett
Evet aslında benim 'ağa bakan SSH makinem kök olmayan bir parola tahmin eden bir bot tarafından devralındı, bu yüzden kesinlikle kesinlikle zaman kaybı değil. Ayrıca, bu tür bir kara liste elde ettikten, kütüklere baktığımız için, girişimlerin çok küçük bir yüzdesi aslında kök içindir.
Lynden Shields
0

Sistem incelemelerinizin ilgili bölümleri / bileşenleri arasında tekrarlanan günlük incelemeleri (gerçek / özel yapılandırmasına bağlı olarak) ...

user48838
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.