Я запускаю SSH сервер на моей основной машине. Каковы здесь риски безопасности, а также преимущества / недостатки переадресации портов или DMZ?

Кроме того, есть ли способ туннелировать сервер SSH без внесения изменений в маршрутизатор?

2 ответа2

3

Риски безопасности

SSH работает в известном порту. Вы можете уменьшить количество криминальных атак, переключившись на неясный номер порта (но учтите, что неизвестность не является безопасностью). Эти атаки создают неудобства, которые заполняют файлы журналов и используют ресурсы.

Самый большой риск заключается в том, что вы разрешаете аутентификацию по паролю в SSH. В большинстве попыток взлома используются тысячи комбинаций популярных имен пользователей ("root", "john" и т.д.) И популярных паролей. Рано или поздно они догадаются правильно. Лучшее решение - разрешить вход только на основе ключей и ограничить вход в систему определенным списком идентификаторов пользователей.

Экспедирование портов против ДМЗ

Некоторые поставщики маршрутизаторов неправильно использовали термин DMZ для обозначения переадресации портов с подстановочными знаками. Строго говоря, DMZ - это изолированный сегмент локальной сети, где вы размещаете общедоступные серверы. Если эти серверы захвачены преступниками, преступники по-прежнему не имеют доступа к вашей внутренней локальной сети (где вы храните какие-либо конфиденциальные или ценные данные). Я бы использовал перенаправление портов и настоящую DMZ, где это возможно.

Настройка на SSH без переадресации портов.

Единственный способ - установить обратный туннель к внешней точке встречи.

-1

Я опоздал к этому, но вот мой подход здравого смысла.

На сервере SSH в DMZ:

  1. Отключить удаленный root-доступ
  2. Отключить аутентификацию по паролю
  3. Изменить номер порта SSH
  4. Поместите свой открытый ключ LONG RSA в папку .ssh авторизованные ключи пользователя без полномочий root
  5. Получить открытый ключ сервера

Затем при подключении:1) Используйте свой закрытый ключ RSA. 2) Всегда представляйте открытый ключ сервера DMZ для подключения SSH.

Пользователь, к которому вы подключаетесь, может быть настроен для sudo. Но более безопасным является su как root.

Открытый ключ предотвратит атаки Man-In_middle. Никогда не подключайтесь вслепую к IP-адресу в DMZ. Никогда никогда никогда.

Вы можете сделать все это в замазке.

Или используйте продукт PPM, такой как "EESM ForestSafe", для удаленного терминала с полным аудитом и т.д. Кроме того, с хорошей системой PPM, если вы идете по маршруту su, вы можете изменить корневой пароль после завершения сеанса.

SSH хорошо документирован и надежен, а длинные ключи RSA по-прежнему непобедимы.

Будьте проще, безопасность, которую вы понимаете, всегда работает лучше всего.

Удачи.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .