Kun haluat avata jotain kotiverkostasi suurempaan internetiin, onko SSH-tunneli riittävän turvallinen tapa tehdä se?
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin hyväksi - Stack Exchangein alaosasto, joka on yhteisöllinen Q & A-sivustojen ryhmittely.
SuperUser-lukija Alfred M. haluaa tietää, onko hän oikealla tiellä yhteyden suojauksella:
Olen äskettäin asettanut pienen palvelimen, jolla on alhainen tietokone, joka käyttää debiania ja jonka tarkoituksena on käyttää sitä henkilökohtaisena git-arkistona. Olen ottanut ssh: n käyttöön ja olin aivan yllättynyt siitä, kuinka nopeasti se kärsii raa'at hyökkäyksistä ja vastaavista. Sitten luin, että tämä on melko yleistä ja se on oppinut perusvarmistustoimenpiteistä, jotta nämä hyökkäykset voidaan torjua (paljon kysymyksiä ja päällekkäisiä palvelimia käsittelevät asiat, katso esimerkiksi tämä tai tämä).
Mutta nyt ihmettelen, onko tämä kaikki vaivan arvoista. Päätin perustaa oman palvelimen enimmäkseen hauskaa: Voisin vain luottaa kolmansien osapuolten ratkaisuihin, kuten gitbucket.org, bettercodes.org jne. Tarjoamiin. Vaikka hauskuus on osa Internet-turvallisuuden oppimista, en ole tarpeeksi aikaa omistautua asiantuntijoiksi ja olla varma siitä, että otin oikeat ennaltaehkäisytoimet.
Jotta voin päättää, jatkelenko leikkiä tämän leluhankkeen kanssa, haluaisin tietää, mitä todella vaarannan. Esimerkiksi, missä määrin muut verkkoon kytketyt tietokoneet uhkaavat? Jotkin näistä tietokoneista käyttävät ihmisiä, joilla on vieläkin vähemmän tietoa kuin miinus Windows.
Mikä on todennäköisyys, että saan todellisia ongelmia, jos noudatan perusohjeita, kuten vahva salasana, ssh: n käytöstä poistettu pääsy, ei-standardi portti ssh: lle ja mahdollisesti salasanojen kirjautumisen estäminen ja yhden epäonnistuneen, denyhostin tai iptables-sääntöjen käyttäminen?
Toinen tapa on, on olemassa joitakin suuria huono susia, jotka minun pitäisi pelätä tai ovatko ne kaikki lähinnä siitä, että shooing away script kiddies?
Pitäisikö Alfred kiinni kolmannen osapuolen ratkaisuista vai onko hänen DIY-ratkaisunsa turvallinen?
SuperUser-avustaja TheFiddlerWins vakuuttaa Alfredille, että se on melko turvallinen:
IMO SSH on yksi turvallisimmista asioista, jotka on kuunneltava avoimessa internetissä. Jos olet todella huolestunut siitä, että se kuuntelee epätavallisen huippuluokan porttia. Minulla olisi vielä (laite tason) palomuuri laatikon ja varsinaisen Internetin välillä ja vain käyttää satamanlähetystä SSH: lle, mutta se on varotoimi muita palveluja vastaan. SSH on itsessään varsin vankka.
minäomistaa jos ihmiset osuivat kotiin SSH-palvelimeni satunnaisesti (avoinna Time Warner Cable). Ei koskaan ollut todellista vaikutusta.
Toinen avustaja Stephane korostaa, kuinka helppoa SSH: n turvallisuuden lisääminen on:
Julkisen avaimen autentikointijärjestelmän luominen SSH: n kanssa on todella vähäpätöinen ja se kestää noin 5 minuuttia asennusta varten.
Jos pakotat kaiken SSH-yhteyden käyttämään sitä, se tekee järjestelmästä melko joustavan kuin voitte toivoa sijoittamatta LOT-turva-infrastruktuuria. Suoraan sanottuna se on niin yksinkertaista ja tehokasta (niin kauan kuin sinulla ei ole 200 tiliä - silloin se tulee sekaisin), että sen käytön ei pitäisi olla yleinen rikkomus.
Lopuksi Craig Watson tarjoaa toisen kärjen minimoimaan tunkeutumisyritykset:
Suoraan myös henkilökohtainen git-palvelin, joka on avoin maailmalle SSH: ssä, ja minulla on myös samat raakajoukot kuin sinä, joten voin sympatiaa tilanteesi kanssa.
TheFiddlerWins on jo käsitellyt tärkeimpiä turvallisuusvaikutuksia siitä, että SSH avataan julkisesti saatavilla olevan IP: n kautta, mutta IMO: n paras työkalu vastauksena raa'at voimayrityksiin on Fail2Ban - ohjelmisto, joka valvoo tunnistuslokitiedostoja, havaitsee tunkeutumisyritykset ja lisää palomuurisääntöjä koneen paikallinen
iptablespalomuuri. Voit määrittää sekä kuinka monta yritystä ennen kieltoa ja myös kiellon pituutta (oletuksena on 10 päivää).
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
