L'impostazione di una password molto forte è sufficiente per proteggere un SSH sulla porta 22?

8

Supponendo che nessuno possa rubarmi la password vera e propria, è praticamente impossibile usare SSH per il 99,9% per accedere al mio server che esegue SSH su una porta standard usando molto forte (24 simboli contenenti numeri maiuscoli, minuscoli, parentesi, caratteri di sottolineatura, dollari, punti, ecc. e senza parole in linguaggio umano) password?

security ssh

— Ivan
fonte

2

Non vorrei pubblicare questo come risposta perché molte persone sembrano non essere d'accordo con me per qualche motivo, ma cambiare la porta in qualcosa di non standard aiuterà anche a ridurre la superficie di attacco. Ovviamente dovrai usare la password complessa e mantenere aggiornato il server per fornire una vera sicurezza, ma ciò contribuirà ad evitare le scansioni comuni per le porte aperte.

— Paul Kroon,

3

anche se raro, ci sono ancora exploit di 0 giorni ... quindi non lo saprai mai. forse puoi limitare l'accesso alla porta 22 [a livello di firewall] solo a pochi host / reti?

o forse puoi andare in sicurezza-sebbene-oscurità e implementare il bussare alla porta ?

— PQD
fonte

1

Penso che il bussare alla porta sia la migliore idea allora. Limitare reti / host è un impalcatura, sono molto mobile e tendo a utilizzare diverse reti wifi e 3G.

— Ivan

8

Ricorda che la TUA password potrebbe essere molto forte mentre altri utenti potrebbero avere password davvero deboli. Inserisci AllowGroupso AllowUsersin /etc/ssh/sshd_configper disattivare l'accesso ssh per altri utenti.

Ricorda inoltre che la tua password potrebbe essere troppo sicura: questa password verrà quasi sicuramente annotata.

Detto questo, penso che tu sia abbastanza al sicuro; se si combina con il port knocking o giù di lì sei molto sicuro.

— Moritz entrambi
fonte

1

+1 per AllowUsers ... sicuramente un vantaggio.

— Paul Kroon,

1

E per buona misura aggiungi fail2ban

— tegbains il

4

Tutto dipende dalla velocità con cui un utente malintenzionato può battere la porta tcp / 22 per gli accessi. Se non stai usando qualcosa per terminare tali connessioni ripetute, nel tempo qualsiasi password può essere scoperta. In questo caso, il tempo sarà molto lungo. Mesi di martellamento costante. Nei registri SSH ho fatto una passeggiata attraverso ho visto piccoli colpi diretti contro account specifici e un sacco di bussare alla porta in cerca di password deboli.

Tuttavia, non puoi presumere che tutti gli attaccanti siano casuali. Qualcuno che ti rivolge in modo specifico avrà l'investimento per attendere diversi mesi per entrare. È per ragioni come questa che la chiave condivisa è preferita ove possibile. È molto probabile che la password che descrivi sia tre volte impossibile da decifrare (in tempi ragionevoli). Non trattengo il respiro per cinque nove.

— sysadmin1138
fonte

1

"Tutto dipende dalla velocità con cui un utente malintenzionato può eseguire il martellamento sulla tua porta tcp / 22 per gli accessi. Se non stai usando qualcosa per terminare tali connessioni ripetute" - Al giorno d'oggi non è impostato su tutte le distribuzioni comuni?

— Ivan

2

@Ivan Deludentemente, no, non lo è. apt-get install denyhosts(basato su debian) pkg_add -r denyhosts(FreeBSD) è una delle prime cose da fare su una nuova scatola.

— Pete,

2

Non sempre. Ubuntu non lo ha di default e nemmeno openSUSE o Fedora / Centos. Esistono pacchetti predefiniti per tutti e tre, ma è necessario intraprendere azioni positive per attivarlo.

— sysadmin1138

3

Usa denyhosts. Considera anche di utilizzare l'accesso basato su chiave anziché un passwrod.

— Pete
fonte

Sì, uso una chiave (e con una buona passphrase simbolica casuale, scritta solo nella mia mente e con una data di scadenza che ha senso). Ma c'è ancora una password per l'utente che ho impostato come ho descritto.

— Ivan

1

Spostare sshd su una porta non standard sarebbe probabilmente banale da aggiungere alla tua configurazione e probabilmente eliminerebbe il 99% del traffico bot ssh. Perché esporsi a tutti gli attacchi di forza bruta quando puoi nasconderti così facilmente. ;-)

Di solito consiglio anche di configurare sshd per usare solo l'autenticazione basata su coppia di chiavi SSH, se sarà esposta a Internet in generale. Fintanto che mantieni la tua chiave privata al sicuro, è quasi impossibile per i malintenzionati autenticarti come te con il server.

Come già sottolineato da un altro commentatore, questo non ti protegge dagli exploit di 0 giorni in sshd stesso. È sempre una buona idea limitare il traffico ai soli computer che devono connettersi tramite le regole del firewall.

— Patrick Heckenlively
fonte