Ev ağınızdaki bir şeyi daha büyük internete açmanız gerektiğinde, bir SSH tüneli bunu yapmak için yeterince güvenli bir yol mudur?
Bugünün Soru-Cevap oturumu bize, topluluk odaklı bir Soru-Cevap web siteleri grubu olan Stack Exchange'in bir alt bölümü olan SuperUser'ın izniyle geliyor.
Soru
SuperUser okuyucu Alfred M., bağlantı güvenliği konusunda doğru yolda olup olmadığını öğrenmek istiyor:
Kısa bir süre önce, kişisel bir git deposu olarak kullanmak amacıyla debian çalıştıran düşük uçlu bir bilgisayar ile küçük bir sunucu kurdum. Ssh'yi etkinleştirdim ve kaba kuvvet saldırıları ve benzerlerinden muzdarip olduğu çabukluk karşısında oldukça şaşırdım. Sonra bunun olduğunu okudum oldukça yaygın ve bu saldırıları engellemek için temel güvenlik önlemlerini öğrendi (sunucu arızasıyla ilgili birçok soru ve yineleme, bununla ilgilenir, örneğin bkz. Bu veya Bu ).
Ama şimdi tüm bunların çabaya değer olup olmadığını merak ediyorum. Çoğunlukla eğlence için kendi sunucumu kurmaya karar verdim: Gitbucket.org, bettercodes.org, vb. Tarafından sunulanlar gibi üçüncü taraf çözümlerine güvenebilirdim. Eğlencenin bir kısmı İnternet güvenliği hakkında bilgi edinmek olsa da, yapmadım Uzman olmak ve doğru önleme tedbirlerini aldığımdan neredeyse emin olmak için yeterince zaman ayırdım.
Bu oyuncak projesiyle oynamaya devam edip etmeyeceğime karar vermek için, bunu yaparken gerçekten neyi riske attığımı bilmek istiyorum. Örneğin, ağıma bağlı diğer bilgisayarlar da ne ölçüde tehdit ediyor? Bu bilgisayarlardan bazıları, Windows çalıştıran benimkinden daha az bilgiye sahip kişiler tarafından kullanılıyor.
Güçlü parola, ssh için devre dışı bırakılmış kök erişimi, ssh için standart olmayan bağlantı noktası ve muhtemelen parola oturumunu devre dışı bırakma ve fail2ban, denyhosts veya iptables kurallarından birini kullanarak temel yönergeleri izlersem gerçek bir sorunla karşılaşma olasılığım nedir?
Başka bir deyişle, korkmam gereken bazı büyük kötü kurtlar mı var yoksa hepsi senaryo çocuklarını kovmakla mı ilgili?
Alfred üçüncü taraf çözümlerine bağlı kalmalı mı yoksa DIY çözümü güvenli mi?
Cevap
SuperUser katılımcısı TheFiddlerWins, Alfred'e oldukça güvenli olduğuna dair güvence veriyor:
IMO SSH, açık internette dinlenebilecek en güvenli şeylerden biridir. Gerçekten endişeleniyorsanız, standart olmayan bir yüksek son bağlantı noktasında dinlemesini sağlayın. Kutunuz ve gerçek İnternet arasında hâlâ bir (cihaz düzeyinde) güvenlik duvarım olacak ve yalnızca SSH için bağlantı noktası yönlendirmeyi kullanacağım, ancak bu diğer hizmetlere karşı bir önlemdir. SSH'nin kendisi oldukça sağlam.
ben Sahip olmak insanlar ara sıra ev SSH sunucuma saldırdı (Time Warner Cable için açık). Asla gerçek bir etkisi olmadı.
Başka bir katkıda bulunan Stephane, SSH'yi daha da güvenli hale getirmenin ne kadar kolay olduğunu vurguluyor:
SSH ile genel anahtar kimlik doğrulama sistemi kurmak gerçekten önemsizdir ve kurulumu yaklaşık 5 dakika sürer .
Tüm SSH bağlantısını onu kullanmaya zorlarsanız, güvenlik altyapısına çok fazla yatırım yapmadan sisteminizi umduğunuz kadar esnek hale getirecektir. Açıkçası, o kadar basit ve etkilidir (200 hesabınız olmadığı sürece - sonra dağınık hale gelir), kullanmamak genel bir suç olmalıdır.
Son olarak, Craig Watson, izinsiz giriş girişimlerini en aza indirmek için başka bir ipucu sunuyor:
Ayrıca SSH'de dünyaya açık kişisel bir git sunucusu çalıştırıyorum ve aynı zamanda sizinle aynı kaba kuvvet sorunlarına sahibim, böylece durumunuza sempati duyabilirim.
TheFiddlerWins, SSH'nin halka açık bir IP'de açık olmasının temel güvenlik sonuçlarını zaten ele almıştır, ancak kaba kuvvet girişimlerine yanıt olarak en iyi araç IMO'dur. Fail2Ban - kimlik doğrulama günlük dosyalarınızı izleyen, izinsiz giriş girişimlerini tespit eden ve makinenin yereline güvenlik duvarı kuralları ekleyen yazılım
iptablesgüvenlik duvarı. Hem yasaklamadan önce kaç deneme yapılacağını hem de yasağın uzunluğunu (varsayılanım 10 gündür) yapılandırabilirsiniz.
Açıklamaya eklemek istediğiniz bir şey var mı? Yorumlarda sesi kapatın. Diğer teknoloji meraklısı Stack Exchange kullanıcılarından daha fazla yanıt okumak ister misiniz? Tartışma dizisinin tamamına buradan göz atın .
