Kako tvegano je zagnati domači strežnik zavarovan za SSH?
Ko morate na vašem domačem omrežju odpreti večji internet, je predor SSH dovolj varen način, da to storite?
Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.
Vprašanje
Bralnik SuperUser Alfred M. želi vedeti, ali je na pravi poti z varnostjo povezave:
Pred kratkim sem vzpostavil majhen strežnik z računalnikom z nizko zmogljivostjo, ki izvaja debian z namenom, da ga uporabim kot osebni git repozitorij. Omogočil sem ssh in bil zelo presenečen nad hitrostjo, ki jo je utrpela zaradi napadov s silo in podobnega. Potem sem prebral, da je to precej pogosta in da sem se naučil osnovnih varnostnih ukrepov za preprečevanje teh napadov (veliko vprašanj in dvojnikov na strežniku, ki ga obravnava, glej na primer ta ali ta).
Zdaj pa se sprašujem, če je vse to vredno truda. Odločil sem se, da bom svoj strežnik postavil večinoma za zabavo: lahko sem se zanašal na rešitve tretjih strank, kot so tiste, ki jih ponujajo gitbucket.org, bettercodes.org, itd. dovolj časa, da se posvetimo temu, da postane strokovnjak in da smo skoraj gotovi, da sem sprejel ustrezne preventivne ukrepe.
Da bi se odločili, ali se bom še naprej igrala s tem projektom igrače, bi rad vedel, kaj resnično tvegam. Na primer, v kakšni meri ogrožajo tudi drugi računalniki, povezani z mojim omrežjem? Nekatere od teh računalnikov uporabljajo osebe, ki imajo še manj znanja kot moj Windows.
Kakšna je verjetnost, da bom prišel v resne težave, če bom sledil osnovnim smernicam, kot so močno geslo, onemogočen korenski dostop za ssh, nestandardna vrata za ssh in morda onemogočil prijavo za geslo in uporabo enega od pravil fail2ban, denyhosts ali iptables?
Povedano drugače, ali obstaja nekaj velikih slabih volkov, ki jih moram prestrašiti, ali pa je to v glavnem v zvezi z odganjanjem scenarističnih otrok?
Ali naj se Alfred drži rešitev tretjih oseb, ali pa je njegova rešitev DIY varna?
Odgovor
Prispevek uporabnika SuperUser TheFiddlerWins pomiri Alfreda, da je povsem varno:
IMO SSH je ena najvarnejših stvari za poslušanje na odprtem internetu. Če ste resnično zaskrbljeni, da ga poslušate na nestandardnih visokih vratih. Še vedno bi imel med napravo in dejanskim internetom požarni zid (na ravni naprave) in samo uporabil posredovanje vrat za SSH, vendar je to previdnost pred drugimi storitvami. Sam SSH je precej krut.
jaz imajo so ljudje občasno naleteli na moj domači strežnik SSH (odprt za Time Warner Cable). Nikoli nisem imel dejanskega vpliva.
Še en sodelavec, Stephane, poudarja, kako enostavno je zaščititi SSH:
Nastavitev sistema avtentikacije javnega ključa s SSH je resnično nepomembna in traja približno 5 minut.
Če prisilite vse povezave SSH, da jo uporabite, potem bo vaš sistem precej prožen, kot si lahko upate, ne da bi vložili LOT v varnostno infrastrukturo. Odkrito povedano, to je tako preprosto in učinkovito (dokler nimate 200 računov - potem postane grdo), da neuporaba mora biti javni prekršek.
Nazadnje, Craig Watson ponuja še en namig, da zmanjša poskus poskusov vdora:
Vodim tudi osebni git strežnik, ki je odprt za svet na SSH, prav tako pa imam enake težave s silo kot vi, tako da lahko sočustvam z vašo situacijo.
TheFiddlerWins je že obravnaval glavne varnostne posledice odprtja SSH na javno dostopnem IP-ju, vendar je najboljše orodje IMO kot odgovor na poskuse s surovo silo. lokalni stroj
iptables
požarni zid. Konfigurirate lahko, koliko poskusov pred prepovedjo in tudi trajanje prepovedi (privzeto je 10 dni).
Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.