Kad jums ir jāatver kaut kas jūsu mājas tīklā, lai nodrošinātu lielāku internetu, vai SSH tunelis ir pietiekami drošs veids, kā to izdarīt?
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
SuperUser lasītājs Alfrēds M. vēlas zināt, vai viņš ir uz pareizā ceļa ar savienojuma drošību:
Nesen esmu izveidojis nelielu serveri ar zemu end datoru, kurā darbojas debian, lai to izmantotu kā personīgo git repozitoriju. Es esmu aktivējis SSH un bija diezgan pārsteigts par ātrumu, kādā tas cieta no brutālu spēku uzbrukumiem un tamlīdzīgiem gadījumiem. Tad es to izlasīju, ka tas ir diezgan izplatīts un ir uzzinājis par pamata drošības pasākumiem, lai novērstu šos uzbrukumus (daudzi jautājumi un dublēti faili, par kuriem serveris to dara, skat., Piemēram, šo vai šo vienu).
Bet tagad es domāju, vai tas viss ir vērts. Es nolēmu izveidot savu serveri galvenokārt fun: es varētu tikai paļauties uz trešo pušu risinājumiem, piemēram, tiem, ko piedāvā gitbucket.org, bettercodes.org uc Lai gan daļa no jautrības ir par interneta drošības izpēti, man nav pietiekami daudz laika, lai to varētu piešķirt, lai kļūtu par ekspertu, un esmu gandrīz pārliecināts, ka esmu pieņēmis pareizus profilakses pasākumus.
Lai izlemtu, vai turpināšu spēlēt ar šo rotaļlietu projektu, es vēlētos uzzināt, ko es patiešām riskēju darīt. Piemēram, cik lielā mērā tiek apdraudēti arī citi tīklā, kas ir saistīti ar manu tīklu? Dažus no šiem datoriem izmanto cilvēki ar vēl mazākām zināšanām nekā manis, kas darbojas ar Windows.
Kāda ir varbūtība, ka man nonāktu reālas problēmas, ja es ievērošu pamatnostādnes, piemēram, spēcīgu paroli, ssh sarkanās piekļuves root piekļuvi, n6 standarta portu SSH un, iespējams, atspējotu paroli un izmantotu kādu no fail2ban, denyhosts vai iptables noteikumiem?
Vēl viens veids, vai ir jāuztraucas par dažiem lieliem sliktiem vilkiem, vai viss ir galvenokārt par skriptu kiddies aizvākšanu?
Vai Alfrēdam vajadzētu būt trešo pušu risinājumiem, vai arī viņa drošais risinājums ir drošs?
SuperUser autors TheFiddlerWins pārliecina Alfredu, ka tas ir diezgan drošs:
IMO SSH ir viena no drošākajām lietām, ko klausīties atklātajā internetā. Ja jūs patiešām interesējat to klausīties nestandarta augstākās klases ostā. Man joprojām ir (ierīces līmeņa) ugunsmūris starp jūsu kastīti un faktisko internetu un tikai izmantojiet pāradresāciju SSH, taču tas ir piesardzības pasākums pret citiem pakalpojumiem. SSH pati par sevi ir diezgan ciets.
Esir gadījumi, kad cilvēki dažreiz skāra manu mājas SSH serveri (atvērts Time Warner Cable). Nekad nav bijusi reāla ietekme.
Vēl viens ieguldītājs Stephane uzsver, cik viegli ir drošināt SSH:
Publiskās atslēgas autentifikācijas sistēmas izveidošana ar SSH patiešām ir nenozīmīga, un iestatīšanai tas aizņem apmēram 5 minūtes.
Ja jūs visu SSH savienojumu izmantojat, lai to izmantotu, tā padarīs jūsu sistēmu par tikpat elastīgu, kā jūs varat cerēt, neieguldot LOT drošības infrastruktūrā. Atklāti sakot, tas ir tik vienkārši un efektīvi (tik ilgi, kamēr jums nav 200 kontu - tad tas izpaužas netīrs), ka to neizmantojot, tas būtu jāuzskata par publisku pārkāpumu.
Visbeidzot, Craig Watson piedāvā vēl vienu padomu, lai mazinātu ielaušanās mēģinājumus:
Es arī vadīju personīgo git serveri, kas ir atvērts pasaulei SSH, un man arī ir tādi paši brute-force jautājumi kā jums, tāpēc es varu izteikt līdzjūtību jūsu situācijai.
TheFiddlerWins jau risina galvenās drošības problēmas, kas saistītas ar SSH atvēršanu publiski pieejamā IP, bet labākais līdzeklis SJO, reaģējot uz brutālu spēku mēģinājumiem, ir Fail2Ban - programmatūra, kas uzrauga jūsu autentifikācijas žurnāla failus, konstatē ielaušanās mēģinājumus un pievieno ugunsmūra noteikumus mašīna ir vietējā
iptablesugunsmūris. Jūs varat konfigurēt gan to, cik daudz mēģinājumu pirms aizlieguma, gan arī aizlieguma ilgumu (mans noklusējums ir 10 dienas).
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
