После установки PasswordAuthentication no , есть ли какие-либо соображения, связанные с безопасностью, чтобы ограничить мой SSH-порт определенным IP-адресом? Могу ли я открыть свой 22 порт в интернет?
1 ответ
1
Если вы не разрешаете пароли для входа в SSH, а вместо этого ограничиваете входы в систему на основе ключей, вы предотвращаете проникновение злоумышленников в вашу систему путем угадывания пароля. Если вы запустите SSH-сервер, доступный в целом по Интернету через порт 22, вы, вероятно, обнаружите, что есть люди, которые ежедневно пытаются проникнуть на него с помощью атак по словарю, т. Е. Путем попытки войти с именем учетной записи. скорее всего, присутствует в системе, например, "root" или даже общее имя, например "john", в паре с каждым словом в словаре в качестве пароля. Автоматический сценарий не займет много времени, чтобы попробовать все возможные слова в словаре с заданным именем пользователя, если на SSH-сервере нет механизма, такого как Fail2ban, для ограничения доступа к серверу с IP-адресов, с которых происходит много неверных попыток входа в систему. были замечены.
Но ограничение входа по SSH аутентификацией на основе ключей не делает вас неуязвимым для возможного компромисса. Например, уязвимости были обнаружены в предыдущих версиях SSH. Например, предположим, что в протоколе SSH обнаружена новая уязвимость нулевого дня. Если бы вы также ограничивали вход по SSH только определенными IP-адресами, у вас был бы дополнительный уровень защиты, т. Е. У вас была бы стратегия глубокой защиты, в которой вы имел другой уровень защиты вне механизмов, используемых программным обеспечением сервера SSH. Иногда, однако, непрактично знать каждый IP-адрес, с которого должен иметь место законный вход в систему SSH или даже возможно ограничить доступ через брандмауэр системы диапазоном IP-адресов, но, если вы можете это сделать, это предоставит вам дополнительный уровень защиты.