Основной риск - забыть, что вы используете ssh-сервер, и поставить слабый пароль на учетную запись. Есть злоумышленники, которые систематически пытаются использовать общие имена учетных записей (например, webmaster
и bob
) и слабые пароли. Вы можете устранить этот риск, запретив вход в систему с паролями ( включите PasswordAuthentication no
в sshd_config
и либо UsePAM No
либо отключите аутентификацию по паролю в настройках PAM для ssh). Промежуточной мерой является ограничение входа ssh в белый список пользователей с AllowUsers
или AllowGroups
в sshd_config
.
Обратите внимание, что разрешение входа в систему паролей само по себе не является проблемой безопасности. Проблемы со слабыми паролями и отслеживанием паролей - проблемы, и разрешение аутентификации по паролям на сервере ssh является активатором. Чтобы защититься от отслеживания паролей, никогда не вводите свой пароль на машине, которой вы не полностью доверяете (но если вы доверяете машине, вы можете также установить на нее закрытый ключ, и тогда вам не понадобится аутентификация по паролю).
Минимальное требование для использования ssh-клиента на компьютере - это уверенность в том, что не будет активного перехвата ssh-связи (атака «человек посередине» возможна, если она выполняется на клиентском компьютере - вы думаете, вы набираете команды в нетронутом ssh-клиенте, но на самом деле клиент точно передает ваши данные аутентификации, а затем вставляет в сообщение троянский конь). Это более слабое требование, чем полагать, что не будет отслеживания паролей (обычно это выполняется с помощью кейлоггера, но есть и другие, менее автоматизированные методы, такие как серфинг через плечо). Если у вас есть минимальное доверие, но вы все еще боитесь перехватчиков, вы можете использовать одноразовые пароли (OpenSSH поддерживает их через поддержку PAM).
Конечно, как и любая другая программа, которая взаимодействует с компьютерами, находящимися вне вашего контроля (не только с сетевыми серверами, но и с клиентами), вы должны следить за обновлениями безопасности.