Pertanyaan Apakah masalah keamanan sama sekali menggunakan SSH pada port 22?


SSH cukup aman untuk tidak khawatir tentang serangan pada port 22, kan?

Setelah menghubungkan satu mesin ke server SSH apakah ada pengaturan dalam file sshd-config atau SSH-config yang perlu diubah setelah membuat kunci?


2
2018-05-03 02:12


asal




Jawaban:


Memindahkan sshd ke port lain hanyalah keamanan melalui ketidakjelasan. Pendekatan yang lebih baik adalah menciptakan pertahanan berlapis. Mulai dengan menonaktifkan otentikasi kata sandi dan membatasi daftar pengguna yang dapat masuk melalui ssh. Kemudian batasi IP atau jaringan sumber yang dapat terhubung, dan letakkan aturan pelambatan di tempat. Pastikan Anda mencatat upaya yang gagal dan memeriksa log Anda secara teratur. Lebih baik lagi jika Anda dapat mengingatkan pada serangan brute force. Ada beberapa alat yang dapat melakukan ini.

Jika Anda dapat menyisihkan server untuk digunakan sebagai host bastion, maka Anda dapat menghapus akses ssh langsung ke server Anda, dan memaksa semua klien Anda melalui satu host yang dapat Anda pantau. Setelah klien berhasil masuk, Anda dapat membatasi di mana mereka melompat ke dengan menambahkan aturan iptables outbound yang dibatasi oleh pengguna atau grup.


3
2018-05-03 03:25



Iya dan tidak. Terkadang membatasi sumber IP tidak tepat. Saya menemukan ini sekali. Kami mendapatkan banyak probe dan port scan pada port 22. Saya memindahkannya ke port lain dan masalahnya hilang. Yang berarti tidak begitu banyak probing mengisi file log. Itu masih aman SSH, tetapi probe itu menjengkelkan. - Matt H


Jika Anda menonaktifkan otentikasi kata sandi, maka Anda dalam kondisi yang sangat baik. Jika Anda mengizinkannya, gunakan fail2ban untuk menghentikan hack kata sandi kasar. Anda akan mendapatkannya di port ssh terbuka.


2
2018-05-03 02:18



menonaktifkan otentikasi kata sandi hanya memungkinkan kunci, kan? - winchendonsprings
Kunci pengguna, benar - uSlackr
1 untuk fail2ban - ini sedikit perangkat lunak yang mengagumkan, dan cukup banyak mengambil gigi dari serangan brute force - Journeyman Geek♦
karena saya hanya akan menghubungkan dari satu komputer dan jika saya menonaktifkan autentikasi password dan membatasi pengguna maka larangan fail2 tidak akan diperlukan, benar? - winchendonsprings


Jika Anda menonaktifkan kata sandi, itu harus baik-baik saja. Anda juga dapat membatasi akun pengguna di file sshd_config.

MaxStartups 3:60:8
AllowUsers myaccount

Sebagai pembatasan lebih lanjut. Anda juga dapat membatasi host yang dapat terhubung, tetapi Anda mungkin tidak ingin melakukannya.

The MaxStartups adalah upaya saya pada bentuk koneksi sederhana "tarpitting", tetapi saya tidak yakin seberapa baik kerjanya.


1
2018-05-03 04:13



Saya tidak yakin bagaimana MaxStartup bekerja tetapi membatasi pengguna sepertinya seperti yang saya butuhkan. - winchendonsprings


Berkenaan dengan serangan brute force, berikut adalah aturan sederhana untuk mengatur dengan Iptables:

# we create a new chain for bruteforce attack detection
iptables -N BRUTE

# allow 10 new connections in a timeframe of 60 seconds
iptables -A BRUTE -m recent --set --name CHECK --rsource
iptables -A BRUTE -m recent --update --seconds 60 --hitcount 10 \
  --name BRUTE --rsource -j DROP

# add a rule in the INPUT chain to check for SSH against the BRUTE chain
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j BRUTE

Ini bekerja dengan modul Iptables "ipt_recent," yang sebenarnya menyimpan file dalam "/ proc / net / ipt_recent /nama" (pada kasus ini nama aku s KASAR).

Aturan-aturan ini akan memungkinkan baru koneksi dalam penundaan satu menit dari IP yang sama, jika tidak maka akan diblokir sementara dan IP harus menghentikan upaya koneksi baru terhadap layanan. Meskipun sangat sederhana untuk mengatur tidak seperti fail2ban itu tidak memungkinkan untuk perbedaan antara koneksi yang sukses dan usaha yang gagal.


0
2018-05-03 06:39