Я запускаю SSH сервер на моей основной машине. Каковы здесь риски безопасности, а также преимущества / недостатки переадресации портов или DMZ?
Кроме того, есть ли способ туннелировать сервер SSH без внесения изменений в маршрутизатор?
2 ответа
3
Риски безопасности
SSH работает в известном порту. Вы можете уменьшить количество криминальных атак, переключившись на неясный номер порта (но учтите, что неизвестность не является безопасностью). Эти атаки создают неудобства, которые заполняют файлы журналов и используют ресурсы.
Самый большой риск заключается в том, что вы разрешаете аутентификацию по паролю в SSH. В большинстве попыток взлома используются тысячи комбинаций популярных имен пользователей ("root", "john" и т.д.) И популярных паролей. Рано или поздно они догадаются правильно. Лучшее решение - разрешить вход только на основе ключей и ограничить вход в систему определенным списком идентификаторов пользователей.
Экспедирование портов против ДМЗ
Некоторые поставщики маршрутизаторов неправильно использовали термин DMZ для обозначения переадресации портов с подстановочными знаками. Строго говоря, DMZ - это изолированный сегмент локальной сети, где вы размещаете общедоступные серверы. Если эти серверы захвачены преступниками, преступники по-прежнему не имеют доступа к вашей внутренней локальной сети (где вы храните какие-либо конфиденциальные или ценные данные). Я бы использовал перенаправление портов и настоящую DMZ, где это возможно.
Настройка на SSH без переадресации портов.
Единственный способ - установить обратный туннель к внешней точке встречи.
-1
Я опоздал к этому, но вот мой подход здравого смысла.
На сервере SSH в DMZ:
- Отключить удаленный root-доступ
- Отключить аутентификацию по паролю
- Изменить номер порта SSH
- Поместите свой открытый ключ LONG RSA в папку .ssh авторизованные ключи пользователя без полномочий root
- Получить открытый ключ сервера
Затем при подключении:1) Используйте свой закрытый ключ RSA. 2) Всегда представляйте открытый ключ сервера DMZ для подключения SSH.
Пользователь, к которому вы подключаетесь, может быть настроен для sudo. Но более безопасным является su как root.
Открытый ключ предотвратит атаки Man-In_middle. Никогда не подключайтесь вслепую к IP-адресу в DMZ. Никогда никогда никогда.
Вы можете сделать все это в замазке.
Или используйте продукт PPM, такой как "EESM ForestSafe", для удаленного терминала с полным аудитом и т.д. Кроме того, с хорошей системой PPM, если вы идете по маршруту su, вы можете изменить корневой пароль после завершения сеанса.
SSH хорошо документирован и надежен, а длинные ключи RSA по-прежнему непобедимы.
Будьте проще, безопасность, которую вы понимаете, всегда работает лучше всего.
Удачи.