Miten riskialtista on ajaa SSH n takana oleva kotipalvelin?
Kun sinun täytyy avata jotain kotiverkostasi suurempaan internetiin, on SSH-tunneli riittävän turvallinen tapa tehdä se?
Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..
Kysymys
SuperUser-lukija Alfred M. haluaa tietää, onko hän oikeassa radassa yhteyden suojauksen kanssa:
Olen äskettäin perustanut pienen palvelimen, jossa on matala päätietokone, joka käyttää debiania, jonka tarkoituksena on käyttää sitä henkilökohtaisena git-arkistona. Olen ottanut käyttöön ssh: n ja olin melko yllättynyt siitä, kuinka nopeasti se kärsii voimattomista hyökkäyksistä ja vastaavista. Sitten luin, että tämä on melko yleistä ja oppinut perusasetuksen turvaamistoimista näiden hyökkäysten torjumiseksi (paljon kysymyksiä ja kaksoiskappaleita palvelinkeskustelussa käsitellään, katso esimerkiksi tämä tai tämä).
Mutta nyt ihmettelen, jos kaikki tämä on vaivan arvoista. Päätin perustaa oman palvelimen enimmäkseen hauskanpitoon: voisin vain luottaa kolmansien osapuolten ratkaisuihin, kuten gitbucket.orgin, bettercodes.orgin tarjoamiin jne. Vaikka osa hauskasta on Internet-tietoturvan oppiminen, en ole tarpeeksi aikaa omistautua asiantuntijaksi ja olla varma siitä, että otin oikeat ehkäisytoimenpiteet.
Jotta voisin päättää, aikooko minun jatkaa leikkiä tämän leluhankkeen kanssa, haluaisin tietää, mitä minulla on todella vaarana. Missä määrin myös muut tietokoneet liitetään verkkooni uhkaavat? Jotkut näistä tietokoneista käyttävät ihmisiä, joilla on vielä vähemmän tietoa kuin Windows-käyttöjärjestelmäni.
Mikä on todennäköisyys, että pääsen todellisiin ongelmiin, jos noudatan perusohjeita, kuten vahvaa salasanaa, ssh: n pääkäyttäjän estettä, ei-standardi-porttia ssh: lle ja mahdollisesti salasanan kirjautumisen estämistä ja jotakin Fail2ban-, denyhosts- tai iptables-sääntöjä käyttämällä?
Toisin sanoen, onko olemassa suuria huonoita susia, joista minun pitäisi pelätä, vai onko kaikki enimmäkseen poissa skriptien kiddiesista?
Jos Alfred pitää kiinni kolmansien osapuolten ratkaisuista tai onko hänen DIY-ratkaisunsa turvallinen?
Vastaus
SuperUserin avustaja TheFiddlerWins vakuuttaa Alfredille, että se on varsin turvallista:
IMO SSH on yksi turvallisimmista asioista kuunnella avoimessa internetissä. Jos olet todella huolissaan, se kuuntelee epätyypillistä huippuporttia. Minulla on edelleen (laitteen taso) palomuuri ruudun ja todellisen Internetin välillä ja käytän vain porttisiirtoa SSH: lle, mutta se on varotoimi muihin palveluihin. SSH itse on melko pirun vankka.
minä omistaa joskus ihmiset osuivat kotiin SSH-palvelimelleni (avoinna Time Warner Cableille). Koskaan ei ollut todellista vaikutusta.
Toinen tekijä, Stephane, korostaa, kuinka helppoa on SSH: n suojaaminen edelleen:
Julkisen avaimen autentikointijärjestelmän perustaminen SSH: n kanssa on todella vähäistä, ja se kestää noin 5 minuuttia.
Jos pakotat kaikki SSH-yhteydet käyttämään sitä, se tekee järjestelmästäsi melko yhtä joustavan kuin voit toivoa investoimatta LOT: a turvallisuusinfrastruktuuriin. Rehellisesti sanottuna se on niin yksinkertaista ja tehokasta (niin kauan kuin sinulla ei ole 200 tiliä - sitten se on sotkuista), että sen käyttämättä jättämisen pitäisi olla julkinen rikos.
Lopuksi Craig Watson tarjoaa toisen kärjen minimoida tunkeutumisyritykset:
Käyn myös henkilökohtaisella git-palvelimella, joka on avoin maailmalle SSH: lla, ja minulla on myös samat voimatekijät kuin sinä, joten voin myötätuntoa tilanteesi kanssa.
TheFiddlerWins on jo käsitellyt tärkeimmät turvallisuusvaikutukset, jotka johtuvat siitä, että SSH on avoinna julkisesti saatavilla olevaan IP-osoitteeseen, mutta paras työkalu IMO on vastaus brute-force -yrityksiin on Fail2Ban - ohjelmisto, joka valvoo autentikointilokitiedostoja, tunnistaa tunkeutumisyritykset ja lisää palomuurin säännöt koneen paikallinen
iptables
palomuuri. Voit määrittää, kuinka monta yritystä on kielletty ennen kuin myös kiellon pituus (oletusarvo on 10 päivää).
Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.