Considerazioni sulla sicurezza durante l'esecuzione di un server SSH

3

Sto provando a configurare un server SSH a cui posso accedere dalla mia rete domestica solo , non su Internet.

Sta funzionando con Ubuntu Linux.

Ho installato il ssh pacchetto, e posso avviare / arrestare il server SSH, quindi procedere al login nel computer dal mio altro computer che si trova sulla stessa rete.

Tuttavia, prima di procedere oltre, quali considerazioni di sicurezza dovrei prendere? Escludendo quello ovvio di impostare una password sicura.

Sono anche preoccupato: se qualcuno scoprisse l'IP del server, sarebbe in grado di connettersi ad esso? Come posso disabilitare le connessioni che non provengono da 192.168.*.*?

linux  ubuntu  networking  ssh  security 
Aber Kled
fonte

Risposte:

2

È possibile utilizzare UFW (firewall non complicato) per aprire la porta 22 (SSH) solo per determinati indirizzi IP.

Sarebbe qualcosa di simile: 

$ sudo ufw allow from 192.168.0.0/24 to any port 22 proto tcp

Il 192.168.0.0/24 bit indica l'intervallo di indirizzi IP 192.168.0.* - cioè 192.168.0.1 attraverso 192.168.0.255 compreso.

Per dettagli, vedi i documenti UFW .

Greg Hendershott
fonte
1

Tuttavia, prima di procedere oltre, quali considerazioni di sicurezza dovrei prendere? Escludendo quello ovvio di impostare una password sicura.

Le chiavi sono più sicure delle password, specialmente se sono protette da password.

Altre cose (la maggior parte sono impostate nel file di configurazione):

Cose che sono sempre una buona idea:

  • Non permettere a root di accedere direttamente (puoi sempre farlo su o sudo in seguito)

  • Disattiva tutte le funzionalità di cui non avrai bisogno /etc/ssh/sshd_config come l'inoltro, ecc.

  • Non ce l'ho sshd in esecuzione quando non ne hai bisogno.

Cose da impedire l'accesso a Internet al tuo sshd

  • Se possibile, bloccare la porta 22 sul firewall del router. Inoltrare ulteriormente questo con un iptables regola o ufw come suggerito da @Greg Hendershott.

  • /etc/hosts_allow controlla quali IP possono accedere al server ed è possibile includere linee che negano gli intervalli IP.

Se successivamente lo esponi a Internet:

  • Cambia la porta da 22 ad un'altra, se possibile. Non aggiungerà alcuna sicurezza reale ma ridurrà gli attacchi casuali.

  • Disabilita il banner SSH o modificalo in qualcosa che non ti identifica (lo vuoi fare DOPO che il login è completato).

  • Installa qualcosa come fail2ban che blocca automaticamente gli IP che eseguono molti accessi falliti.

  • Accetta solo SSHv2, le versioni precedenti hanno vulnerabilità se non sbaglio. Penso che questo sia impostato di default.

LawrenceC
fonte
1
Sono ancora impressionato quando vedo un server che ha la sua porta SSH predefinita modificata in qualcos'altro. Di conseguenza, faccio questo per tutte le mie scatole e mi libera da molti tentativi di accesso casuali.
Mogget
1
Inoltre, se vai su Internet. Vorrei anche aggiungere intervalli di blocco trovati nei seguenti: wizcrafts.net/chinese-iptables-blocklist.html . Penso che il 90% degli attacchi siano stati abbandonati a quel punto. Ovviamente ciò presuppone che non si stia effettuando l'accesso da tali intervalli.
prateek61
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.