איך מסוכן זה לרוץ שרת בית מאובטח מאחורי SSH?
כאשר אתה צריך לפתוח משהו ברשת הביתית שלך לאינטרנט גדול יותר, היא מנהרה SSH דרך מאובטחת מספיק כדי לעשות את זה?
מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ מונחה על ידי הקהילה של אתרי אינטרנט של Q & A.
השאלה
SuperUser הקורא אלפרד מ 'רוצה לדעת אם הוא על המסלול הנכון עם אבטחה החיבור:
יש לי לאחרונה להגדיר שרת קטן עם מחשב סוף נמוך פועל debian עם המטרה להשתמש בו כמאגר אישי git. אני איפשר ssh והופתעתי למדי את המהירות שבה הוא סובל התקפות כוח פראי וכדומה. אז קראתי כי זה די נפוץ ולמד על אמצעי אבטחה בסיסיים כדי להדוף את ההתקפות האלה (הרבה שאלות כפילויות על serverfault להתמודד עם זה, לראות למשל אחד זה או אחר).
אבל עכשיו אני תוהה אם כל זה שווה את המאמץ. החלטתי להקים את השרת שלי בעיקר בשביל הכיף: אני יכול פשוט להסתמך על פתרונות צד שלישי כגון אלה המוצעים על ידי gitbucket.org, bettercodes.org, וכו 'בעוד חלק מהכיף הוא על למידה על אבטחת האינטרנט, אני לא מספיק זמן להקדיש את זה כדי להיות מומחה להיות כמעט בטוח כי לקחתי את הצעדים הנכונים.
כדי להחליט אם אני אמשיך לשחק עם פרויקט הצעצוע הזה, אני רוצה לדעת מה אני באמת מסתכן בכך. למשל, באיזו מידה מחשבים אחרים המחוברים לרשת שלי מאיימים גם כן? חלק מהמחשבים האלה משמשים אנשים עם ידע אפילו פחות מאשר שלי פועל Windows.
מהי ההסתברות שאני נכנס לצרות אמיתיות אם אני עוקב אחר הנחיות בסיסיות כגון סיסמה חזקה, גישה שורש מושבת עבור ssh, יציאת סטנדרטי עבור ssh ואולי השבתת כניסה סיסמה באמצעות אחד fail2ban, denyhosts או iptables הכללים?
שים דרך אחרת, האם יש כמה זאבים גדולים רע אני צריך לחשוש או שזה הכל בעיקר על shooing משם ילדים?
צריך אלפרד מקל על פתרונות צד שלישי, או פתרון DIY שלו מאובטח?
התשובה
תורם SuperUser TheFiddlerWins מרגיע אלפרד שזה די בטוח:
IMO SSH הוא אחד הדברים הבטוחים ביותר שיש להקשיב באינטרנט הפתוח. אם אתה באמת מודאג יש את זה להקשיב על יציאת לא סטנדרטית גבוהה סוף. עדיין יש לי חומת אש (ברמת המכשיר) בין התיבה שלך לאינטרנט בפועל פשוט להשתמש העברת הנמל עבור SSH אבל זה אמצעי זהירות נגד שירותים אחרים. SSH עצמו הוא מוצק למדי.
אני יש היו אנשים פגע שרת הבית שלי SSH מדי פעם (פתוח טיים וורנר כבל). מעולם לא היתה השפעה ממשית.
תורם נוסף, סטפן, מדגיש עד כמה קל יותר לאבטח את ה- SSH:
הגדרת מערכת אימות מפתח ציבורי עם SSH הוא טריוויאלי באמת לוקח בערך 5 דקות ההתקנה.
אם אתה מכריח את כל חיבור SSH להשתמש בו, אז זה יהפוך את המערכת שלך די גמיש כפי שאתה יכול לקוות מבלי להשקיע הרבה לתוך תשתיות אבטחה. למען האמת, זה כל כך פשוט ויעיל (כל עוד אין לך 200 חשבונות - אז זה נהיה מבולגן) כי לא באמצעות זה צריך להיות עבירה ציבורית.
לבסוף, קרייג ווטסון מציע עוד טיפ למזעור ניסיונות חדירה:
אני גם מפעיל שרת Git אישי זה פתוח לעולם ב- SSH, ויש לי גם את אותם בעיות כוח הזרוע כמוך, אז אני יכול להזדהות עם המצב שלך.
TheFidlerWins כבר מטפל בהשלכות האבטחה העיקריות של SSH פתוח על IP נגיש לציבור, אבל הכלי הטוב ביותר IMO בתגובה לניסיונות כוח הזרוע הוא Fail2Ban - תוכנה המנטרת קבצי יומן האימות שלך, מזהה ניסיונות פריצה ומוסיף כללי חומת אש מכונה מקומית
iptables
חומת אש. אתה יכול להגדיר גם כמה ניסיונות לפני האיסור וגם את אורך האיסור (ברירת המחדל שלי היא 10 ימים).
יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.