Kada trebate nešto otvoriti na kućnoj mreži na veći internet, je li SSH tunel siguran način da to učinite?
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
Čitač SuperUser Alfred M. želi znati je li na dobrom putu s sigurnosnom vezom:
Nedavno sam postavio mali poslužitelj s niskim računalom na debianu s ciljem da ga upotrijebim kao osobni spremište za git. Omogućila sam ssh i bila prilično iznenađena brzinom na kojoj je pretrpjela napade na silu i slično. Tada sam pročitao da je to prilično uobičajeno i naučeno o osnovnim sigurnosnim mjerama kako bi se spriječili ti napadi (puno pitanja i duplikata na poslužitelju se bave njime, vidi na primjer ovaj ili ovaj).
Ali sad se pitam je li sve ovo vrijedno truda. Odlučio sam postaviti svoj vlastiti poslužitelj uglavnom zbog zabave: mogu se samo osloniti na rješenja trećih strana poput onih koje nude gitbucket.org, bettercodes.org, itd. Dok je dio zabave o učenju o sigurnosti na internetu, nisam dovoljno vremena da se posvetite tome da postanete stručnjak i biti gotovo sigurni da sam poduzela odgovarajuće mjere prevencije.
Da bih odlučio hoću li nastaviti igrati s ovim projektom igračke, želio bih znati što ja stvarno riskiram. Na primjer, koliko su i druga računala povezana s mojom mrežom i prijetiti? Neki od tih računala koriste ljudi s manje znanja od Windows operativnih sustava.
Kakva je vjerojatnost da dođem do stvarnih problema ako slijedim osnovne smjernice kao što su jaka lozinka, onemogućeni pristup rootu za ssh, nestandardnu luku za ssh i eventualno onesposobljavanje lozinke za prijavu i korištenje jednog od pravila fail2ban, deniing ili iptables?
Još jedan način, postoji li neki veliki loš vuk koji bi se trebao bojati ili se sve radi uglavnom o odbacivanju skriptnih kolača?
Treba li Alfred držati rješenja trećih strana, ili je njegovo rješenje DIY sigurno?
SuperForum suradnik TheFiddlerWins uvjerava Alfreda da je prilično siguran:
IMO SSH je jedna od najsigurnijih stvari za slušanje na otvorenom internetu. Ako ste stvarno zabrinuti da ga slušate na nestandardnom high-end portu. Još bih imao vatrozid (razina uređaja) između vašeg okvira i stvarnog interneta i samo koristim port prosljeđivanje za SSH, ali to je mjera opreza protiv drugih usluga. SSH sama je prilično prokleto čvrsta.
jaimati da su ljudi ponekad pogodili moj dom SSH poslužitelj (otvoren za Time Warner Cable). Nikada nije imao stvarni utjecaj.
Još jedan suradnik, Stephane, naglašava koliko je lako osigurati SSH:
Postavljanje sustava za autorizaciju javnog ključa s SSH-om je doista trivijalan i potrebno je oko 5 minuta za postavljanje.
Ako prisilite sve SSH veze da ga upotrijebite, učinit će vaš sustav prilično otporan kao što se možete nadati bez ulaganja LOT u sigurnosnu infrastrukturu. Iskreno, to je tako jednostavno i djelotvorno (sve dok nemate 200 računa - a zatim dobiva neuredan) da ne bi trebalo biti javno djelo.
Konačno, Craig Watson nudi još jedan savjet kako bi se smanjili pokušaji prodora:
Također vodim osobni git server koji je otvoren svijetu na SSH-u, a također imam iste probleme s velikim silama kao i vi, tako da mogu biti suosjećajan sa vašom situacijom.
TheFiddlerWins već se bavi glavnim sigurnosnim implikacijama da se SSH otvori na javno dostupnoj IP adresi, ali najbolji IMO alat kao odgovor na pokušaj brutalne sile je Fail2Ban - softver koji prati vaše log datoteke autentifikacije, otkriva pokušaj upada i dodaje pravila vatrozida na stroj je lokalni
iptablesvatrozid. Možete konfigurirati i koliko pokušaja prije zabrane, kao i duljinu zabrane (moje zadano vrijeme je 10 dana).
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
