Homepage » hogyan kell » Mennyire veszélyes az SSH mögött biztosított otthoni kiszolgáló futtatása?

    Mennyire veszélyes az SSH mögött biztosított otthoni kiszolgáló futtatása?

    Ha egy nagyobb internethez szeretné megnyitni valamit az otthoni hálózaton, az SSH-alagút egy biztonságos út ahhoz, hogy ezt megtehesse?

    A mai Kérdések és válaszok munkamenet a Jóvagyon - a Stack Exchange alosztályának, a közösség által vezérelt Q&A webhelyek csoportjának köszönhetően..

    A kérdés

    A SuperUser olvasó, Alfred M. szeretné tudni, hogy a kapcsolat biztonsága a megfelelő úton van:

    Nemrégiben egy kis kiszolgálót állítottam fel, amely egy alacsony végpontú számítógépet futtató debian-t használ, azzal a céllal, hogy személyes git-tárolóként használjam. Én engedélyeztem az ssh-t, és meglepődtem, hogy milyen gyorsasággal szenvedett a nyers erő támadások és hasonlók. Aztán olvastam, hogy ez meglehetősen gyakori, és megtanultam az alapvető biztonsági intézkedésekről, hogy megakadályozzák ezeket a támadásokat (rengeteg kérdés és duplikáció a szerverkultúrával foglalkozik vele, lásd például ezt vagy ezt).

    De most azon gondolkodom, vajon mindez megéri-e. Úgy döntöttem, hogy a saját szerveremet többnyire szórakoztató célokra állítottam fel: csak a harmadik fél által kínált megoldásokra támaszkodhattam, például a gitbucket.org, bettercodes.org stb. Által kínált megoldásokra. elég idő ahhoz, hogy szakértővé váljon, és szinte biztos legyen abban, hogy meghoztam a megfelelő megelőző intézkedéseket.

    Annak eldöntése érdekében, hogy folytatom-e ezt a játékprojektet, szeretném tudni, hogy mit kockáztatom. Például milyen mértékben fenyegeti a hálózathoz csatlakozó többi számítógép is? Ezek közül a számítógépek közül néhányat még kevésbé ismertté vált emberek használnak, mint a Windows-on.

    Mi a valószínűsége annak, hogy valódi bajba kerülök, ha követem az alapvető irányelveket, például az erős jelszót, az ssh letiltott root hozzáférést, a nem szabványos portot az ssh-hez, és esetleg letiltjuk a jelszó bejelentkezést és a fail2ban, denyhosts vagy iptables szabályok egyikét.?

    Másképpen fogalmazva, van-e valami nagy rossz farkas, amiről félnem kell, vagy főleg a szkript kölykök elrablásáról van szó?

    Ha Alfred harmadik féltől származó megoldásokhoz ragaszkodik, vagy a DIY megoldása biztonságos?

    A válasz

    SuperUser közreműködő TheFiddlerWins megnyugtatja Alfredet, hogy elég biztonságos:

    Az IMO SSH az egyik legbiztonságosabb dolog, hogy hallgasson a nyílt interneten. Ha tényleg érdekel, hallgasson egy nem szabványos, magas végpontú porton. Még mindig van egy (eszközszintű) tűzfal a doboz és az aktuális internet között, és csak az SSH port-továbbítását használom, de ez az elővigyázatosság más szolgáltatások ellen. Az SSH maga is eléggé átkozott.

    én van alkalmanként az emberek SSH-kiszolgálómban találkoztak (nyitva áll a Time Warner Cable-hez). Soha nem volt tényleges hatása.

    Egy másik, Stephane közreműködő kiemeli, hogy mennyire egyszerű az SSH további biztonsága:

    Egy nyilvános kulcsú hitelesítési rendszer létrehozása SSH-val valóban triviális, és kb. 5 percig tart.

    Ha az összes SSH-kapcsolatot kényszeríti használni, akkor a rendszer nagyon rugalmas lesz, mint amennyire remélhetőleg anélkül, hogy LOT-ot befektetne a biztonsági infrastruktúrába. Őszintén szólva, ez olyan egyszerű és hatékony (mindaddig, amíg nincs 200 számlája - akkor ez rendetlen lesz), hogy a használatát nem szabad bűncselekménynek tekinteni.

    Végül a Craig Watson egy másik tippet kínál a behatolási kísérletek minimalizálására:

    Én is futok egy személyes git szervert, amely nyitva áll a világ számára az SSH-n, és én ugyanolyan brutális erővel is foglalkozom, mint te, így tudok szimpatizálni a helyzetedkel.

    A TheFiddlerWins már foglalkozik az SSH nyitva tartásával a nyilvánosan hozzáférhető IP-n, de az IMO legjobb eszköze a brutális erőfeszítésekre való válaszadás esetén a Fail2Ban - a hitelesítési naplófájlokat figyelő szoftver, észleli a behatolási kísérleteket és tűzfalszabályokat ad hozzá a gép helyiiptables tűzfal. Beállíthatja mind a tilalom előtti kísérletek számát, mind a tilalom hosszát (az alapértelmezett érték 10 nap).

    Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.

    Hogyan nyerte meg a Samsung a Galaxis S7-et
    Hogyan csalódnak a csalók e-mail címek, és hogyan tudják megmondani
    Hogyan működik a privát böngészés, és miért nem kínál teljes adatvédelmet
    Következő cikk
    Hogyan működik a Safari új intelligens nyomkövetési megelőzése
    Korábbi cikk
    Hogyan befolyásolhatja a hírnévmenedzsment a szabadúszó karrierjét