Αρχική σελίδα » πως να » Πόσο επικίνδυνο είναι να εκτελέσει ένα διακομιστή εγχώριων ασφάλειων πίσω από SSH;

    Πόσο επικίνδυνο είναι να εκτελέσει ένα διακομιστή εγχώριων ασφάλειων πίσω από SSH;

    Όταν χρειαστεί να ανοίξετε κάτι στο οικιακό σας δίκτυο στο μεγαλύτερο διαδίκτυο, είναι μια σήραγγα SSH ένας αρκετά ασφαλής τρόπος για να το κάνετε?

    Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα που κατευθύνεται από τους ιστότοπους ερωτήσεων & απαντήσεων.

    Το ερώτημα

    Ο αναγνώστης SuperUser Alfred M. θέλει να μάθει αν βρίσκεται στο σωστό δρόμο με ασφάλεια σύνδεσης:

    Πρόσφατα έχω εγκαταστήσει ένα μικρό διακομιστή με έναν υπολογιστή χαμηλού τέλους που τρέχει debian με σκοπό να το χρησιμοποιήσει ως προσωπικό git αποθετήριο. Έχω ενεργοποιήσει το ssh και ήταν αρκετά έκπληκτος για την ταχύτητα με την οποία υπέστη από βίαιες επιθέσεις δυνάμεων και τα παρόμοια. Στη συνέχεια, διάβασα ότι αυτό είναι αρκετά κοινό και μάθαμε για βασικά μέτρα ασφαλείας για να αποτρέψουμε αυτές τις επιθέσεις (πολλές ερωτήσεις και αντίγραφα για το serverfault ασχολούνται με αυτό, βλ. Για παράδειγμα αυτή ή αυτή).

    Αλλά τώρα αναρωτιέμαι αν όλα αυτά αξίζουν την προσπάθεια. Αποφάσισα να δημιουργήσω το δικό μου διακομιστή ως επί το πλείστον για διασκέδαση: θα μπορούσα απλώς να βασίζομαι σε λύσεις τρίτων όπως αυτές που προσφέρονται από το gitbucket.org, bettercodes.org, κλπ. Ενώ μέρος της διασκέδασης είναι για μάθηση σχετικά με την ασφάλεια στο Διαδίκτυο, δεν έχω αρκετό χρόνο για να το αφιερώσω για να γίνει ειδικός και να είμαι σχεδόν βέβαιος ότι έλαβα τα σωστά μέτρα πρόληψης.

    Για να αποφασίσω εάν θα συνεχίσω να παίζω με αυτό το έργο παιχνιδιού, θα ήθελα να μάθω τι πραγματικά διακινδυνεύω να το κάνω. Για παράδειγμα, σε ποιο βαθμό απειλούνται και οι άλλοι υπολογιστές που συνδέονται με το δίκτυό μου; Ορισμένοι από αυτούς τους υπολογιστές χρησιμοποιούνται από άτομα με ακόμη λιγότερη γνώση από τα Windows που εκτελούν τα δικά μου.

    Ποια είναι η πιθανότητα να έρθω σε πραγματικό πρόβλημα εάν ακολουθήσω βασικές οδηγίες όπως ισχυρός κωδικός πρόσβασης, απενεργοποιημένη πρόσβαση root για ssh, μη τυπική θύρα για ssh και ενδεχομένως απενεργοποίηση σύνδεσης με κωδικό πρόσβασης και χρήση ενός από τους κανόνες fail2ban, denyhosts ή iptables?

    Βάλτε έναν άλλο τρόπο, υπάρχουν κάποιοι μεγάλοι κακοί λύκοι από τους οποίους θα φοβόμουν ή θα είναι όλοι οι περισσότεροι για να σκοτώνουν μακριά τα παιδικά σενάρια?

    Πρέπει ο Αλφρεντ να κολλήσει σε λύσεις τρίτων, ή είναι ασφαλής η λύση DIY του?

    Η απάντηση

    Ο συνεργάτης του SuperUser TheFiddlerWins διαβεβαιώνει τον Alfred ότι είναι απολύτως ασφαλής:

    Το IMO SSH είναι ένα από τα ασφαλέστερα πράγματα που πρέπει να ακούσετε στο ανοιχτό διαδίκτυο. Αν είστε πραγματικά ανησυχούν να το ακούσετε σε ένα μη τυποποιημένο λιμάνι υψηλής τέλος. Θα είχα ακόμα ένα τείχος προστασίας (επίπεδο επιπέδου συσκευής) μεταξύ του κουτιού σας και του πραγματικού Internet και θα χρησιμοποιήσω απλώς την προώθηση θυρών για SSH, αλλά αυτή είναι μια προφύλαξη έναντι άλλων υπηρεσιών. Το ίδιο το SSH είναι αρκετά σκληρό.

    Εγώ έχω Είχα τους ανθρώπους να χτύπησε το σπίτι SSH server μου περιστασιακά (ανοιχτό στο Time Warner Cable). Ποτέ δεν είχε πραγματικό αντίκτυπο.

    Ένας άλλος συνεισφέρων, ο Stephane, επισημαίνει πόσο εύκολο είναι να εξασφαλίσει περαιτέρω SSH:

    Η δημιουργία ενός συστήματος ελέγχου ταυτότητας δημόσιου κλειδιού με SSH είναι πραγματικά ασήμαντο και διαρκεί περίπου 5 λεπτά για την εγκατάσταση.

    Αν αναγκάσετε να χρησιμοποιήσετε όλη τη σύνδεση SSH, τότε θα κάνει το σύστημά σας όσο το δυνατόν πιο ανθεκτικό, όπως μπορείτε να ελπίζετε, χωρίς να επενδύσετε LOT σε υποδομή ασφαλείας. Ειλικρινά, είναι τόσο απλό και αποτελεσματικό (εφ 'όσον δεν έχετε 200 λογαριασμούς - τότε παίρνει βρώμικο) ότι η μη χρήση του θα πρέπει να αποτελεί δημόσιο αδίκημα.

    Τέλος, ο Craig Watson προσφέρει μια άλλη συμβουλή για να ελαχιστοποιήσει τις προσπάθειες εισβολής:

    Επίσης, τρέχω έναν προσωπικό διακομιστή git που είναι ανοιχτός στον κόσμο για SSH και έχω επίσης τα ίδια ζητήματα που σχετίζονται με τη βίαιη δύναμη με εσάς, έτσι ώστε να μπορώ να συμπάσχω με την κατάστασή σας.

    Το TheFiddlerWins έχει ήδη αντιμετωπίσει τις βασικές συνέπειες της ασφάλειας του SSH να είναι ανοιχτό σε μια δημόσια προσβάσιμη διεύθυνση IP, αλλά το καλύτερο εργαλείο IMO ως απόκριση στις προσπάθειες βίαιης δύναμης είναι το λογισμικό Fail2Ban που παρακολουθεί τα αρχεία καταγραφής ταυτότητας, εντοπίζει τις προσπάθειες εισβολής και προσθέτει κανόνες τείχους προστασίας το τοπικό του μηχανήματοςiptables τείχος προστασίας. Μπορείτε να διαμορφώσετε τόσο πόσες προσπάθειες πριν την απαγόρευση όσο και τη διάρκεια της απαγόρευσης (η προεπιλογή μου είναι 10 ημέρες).


    Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.