Mennyire veszélyes az SSH mögött biztosított otthoni kiszolgáló futtatása?
Ha egy nagyobb internethez szeretné megnyitni valamit az otthoni hálózaton, az SSH-alagút egy biztonságos út ahhoz, hogy ezt megtehesse?
A mai Kérdések és válaszok munkamenet a Jóvagyon - a Stack Exchange alosztályának, a közösség által vezérelt Q&A webhelyek csoportjának köszönhetően..
A kérdés
A SuperUser olvasó, Alfred M. szeretné tudni, hogy a kapcsolat biztonsága a megfelelő úton van:
Nemrégiben egy kis kiszolgálót állítottam fel, amely egy alacsony végpontú számítógépet futtató debian-t használ, azzal a céllal, hogy személyes git-tárolóként használjam. Én engedélyeztem az ssh-t, és meglepődtem, hogy milyen gyorsasággal szenvedett a nyers erő támadások és hasonlók. Aztán olvastam, hogy ez meglehetősen gyakori, és megtanultam az alapvető biztonsági intézkedésekről, hogy megakadályozzák ezeket a támadásokat (rengeteg kérdés és duplikáció a szerverkultúrával foglalkozik vele, lásd például ezt vagy ezt).
De most azon gondolkodom, vajon mindez megéri-e. Úgy döntöttem, hogy a saját szerveremet többnyire szórakoztató célokra állítottam fel: csak a harmadik fél által kínált megoldásokra támaszkodhattam, például a gitbucket.org, bettercodes.org stb. Által kínált megoldásokra. elég idő ahhoz, hogy szakértővé váljon, és szinte biztos legyen abban, hogy meghoztam a megfelelő megelőző intézkedéseket.
Annak eldöntése érdekében, hogy folytatom-e ezt a játékprojektet, szeretném tudni, hogy mit kockáztatom. Például milyen mértékben fenyegeti a hálózathoz csatlakozó többi számítógép is? Ezek közül a számítógépek közül néhányat még kevésbé ismertté vált emberek használnak, mint a Windows-on.
Mi a valószínűsége annak, hogy valódi bajba kerülök, ha követem az alapvető irányelveket, például az erős jelszót, az ssh letiltott root hozzáférést, a nem szabványos portot az ssh-hez, és esetleg letiltjuk a jelszó bejelentkezést és a fail2ban, denyhosts vagy iptables szabályok egyikét.?
Másképpen fogalmazva, van-e valami nagy rossz farkas, amiről félnem kell, vagy főleg a szkript kölykök elrablásáról van szó?
Ha Alfred harmadik féltől származó megoldásokhoz ragaszkodik, vagy a DIY megoldása biztonságos?
A válasz
SuperUser közreműködő TheFiddlerWins megnyugtatja Alfredet, hogy elég biztonságos:
Az IMO SSH az egyik legbiztonságosabb dolog, hogy hallgasson a nyílt interneten. Ha tényleg érdekel, hallgasson egy nem szabványos, magas végpontú porton. Még mindig van egy (eszközszintű) tűzfal a doboz és az aktuális internet között, és csak az SSH port-továbbítását használom, de ez az elővigyázatosság más szolgáltatások ellen. Az SSH maga is eléggé átkozott.
én van alkalmanként az emberek SSH-kiszolgálómban találkoztak (nyitva áll a Time Warner Cable-hez). Soha nem volt tényleges hatása.
Egy másik, Stephane közreműködő kiemeli, hogy mennyire egyszerű az SSH további biztonsága:
Egy nyilvános kulcsú hitelesítési rendszer létrehozása SSH-val valóban triviális, és kb. 5 percig tart.
Ha az összes SSH-kapcsolatot kényszeríti használni, akkor a rendszer nagyon rugalmas lesz, mint amennyire remélhetőleg anélkül, hogy LOT-ot befektetne a biztonsági infrastruktúrába. Őszintén szólva, ez olyan egyszerű és hatékony (mindaddig, amíg nincs 200 számlája - akkor ez rendetlen lesz), hogy a használatát nem szabad bűncselekménynek tekinteni.
Végül a Craig Watson egy másik tippet kínál a behatolási kísérletek minimalizálására:
Én is futok egy személyes git szervert, amely nyitva áll a világ számára az SSH-n, és én ugyanolyan brutális erővel is foglalkozom, mint te, így tudok szimpatizálni a helyzetedkel.
A TheFiddlerWins már foglalkozik az SSH nyitva tartásával a nyilvánosan hozzáférhető IP-n, de az IMO legjobb eszköze a brutális erőfeszítésekre való válaszadás esetén a Fail2Ban - a hitelesítési naplófájlokat figyelő szoftver, észleli a behatolási kísérleteket és tűzfalszabályokat ad hozzá a gép helyi
iptables
tűzfal. Beállíthatja mind a tilalom előtti kísérletek számát, mind a tilalom hosszát (az alapértelmezett érték 10 nap).
Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.