Kaip rizikinga paleisti SSH apsaugotą namų serverį?
Jei reikia daugiau atidaryti savo namų tinkle didesnį internetą, tai SSH tunelis yra pakankamai saugus būdas tai padaryti?
Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.
Klausimas
„SuperUser“ skaitytojas Alfredas M. nori sužinoti, ar jis yra tinkamo kelio su ryšio saugumu:
Neseniai sukūriau nedidelį serverį su mažo galingumo kompiuteriu, kuriame veikia debianas, siekiant jį naudoti kaip asmeninį git repozitoriumą. Aš įgalinau ssh ir buvau gana nustebintas tuo, kiek greitai jis buvo nukentėjęs nuo brutalinių jėgų atakų ir pan. Tada aš perskaičiau, kad tai gana paplitusi ir sužinojau apie pagrindines saugumo priemones, skirtas atlaikyti šiuos išpuolius (daug klausimų ir dublikatų, susijusių su serverfultu, su juo susiduriate, žr., Pavyzdžiui, šį arba šį).
Bet dabar man įdomu, ar visa tai verta pastangų. Nusprendžiau sukurti savo serverį dažniausiai linksmybei: galėčiau tik pasikliauti trečiųjų šalių sprendimais, pvz., Gitbucket.org, bettercodes.org ir kt. Nors dalis įdomių dalykų yra mokymasis apie interneto saugumą, aš ne pakankamai laiko skirti jai tapti ekspertu ir būti beveik tikri, kad ėmiausi teisingų prevencijos priemonių.
Norėdamas nuspręsti, ar toliau žaisiu šį žaislų projektą, norėčiau sužinoti, ką aš tikrai rizikuoju. Pavyzdžiui, kokiu mastu gresia ir kiti kompiuteriai, prijungti prie mano tinklo? Kai kuriuos iš šių kompiuterių naudoja žmonės, turintys dar mažiau žinių, nei mano Windows.
Kokia yra tikimybė, kad pateksiu į realią problemą, jei vadovaujuosi pagrindinėmis gairėmis, pvz., Stipriu slaptažodžiu, „ssh“ išjungta root prieiga, nestandartiniu prievadu „ssh“ ir galbūt išjungus slaptažodžio prisijungimą ir naudojant vieną „fail2ban“, „denyhosts“ arba „iptables“?
Kitaip tariant, ar turiu didelių blogų vilkų, kuriuos turėčiau bijoti, ar tai yra daugiausia apie skriptų vaikus??
Jei Alfredas laikysis trečiųjų šalių sprendimų, ar jo „DIY“ sprendimas yra saugus?
Atsakymas
„SuperUser“ dalyvis „TheFiddlerWins“ įtikina Alfredą, kad tai visiškai saugu:
IMO SSH yra vienas iš saugiausių dalykų, kad galėtumėte klausytis atvirame internete. Jei tikrai susirūpinote, klausykitės nestandartinio aukšto lygio prievado. Aš vis dar turiu (įrenginio lygio) užkardą tarp jūsų dėžutės ir tikrojo interneto ir tiesiog naudokite SSH siuntimą, tačiau tai yra atsargumas prieš kitas paslaugas. SSH pats yra gana prakeiktas.
I turėti kartais žmonės nukentėjo mano namų SSH serveryje (atvira „Time Warner Cable“). Niekada neturėjo faktinio poveikio.
Kitas dalyvis, Stephane, pabrėžia, kaip lengva toliau saugoti SSH:
Viešojo rakto autentifikavimo sistemos su SSH nustatymas yra tikrai nereikšmingas ir užtrunka apie 5 minutes.
Jei priversite naudoti visus SSH ryšius, tuomet jūsų sistema taps tokia pat elastinga, kaip galite tikėtis be investavimo į saugumo infrastruktūrą. Atvirai kalbant, tai taip paprasta ir veiksminga (kol jūs neturite 200 sąskaitų - tada jis tampa nepatogus), kad jo nenaudojimas turėtų būti viešas nusikaltimas.
Galiausiai „Craig Watson“ siūlo kitą patarimą, kaip sumažinti bandymus įsilaužti:
Taip pat aš paleisiu asmeninį git serverį, kuris yra atviras pasauliui SSH, ir aš taip pat turiu tuos pačius brutalios jėgos klausimus, kaip ir jūs, todėl galiu užjausti jūsų situaciją.
TheFiddlerWins jau sprendžia pagrindinius saugumo padarinius, susijusius su SSH atidarymu viešai prieinamame IP, tačiau geriausias IMO įrankis reaguojant į brutalių jėgų bandymus yra Fail2Ban - programinė įranga, kuri stebi jūsų autentifikavimo žurnalo failus, aptinka įsilaužimo bandymus ir prideda ugniasienės taisykles mašinos vietos
iptables
užkardą. Galite konfigūruoti tiek bandymų prieš draudimą, tiek uždraudimo trukmę (mano numatytasis laikas yra 10 dienų).
Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.