Коли вам потрібно відкрити щось у своїй домашній мережі для розширеного Інтернету, чи є SSH-тунель достатньо безпечним способом для цього?
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Питання
Читач SuperUser Альфред М. хоче знати, чи він на правильному шляху з безпекою з’єднання:
Нещодавно я створив невеликий сервер із низьким класом комп'ютера, на якому запущений debian, з метою використовувати його як особисте сховище git. Я включив ssh і був дуже здивований оперативністю, якою він страждав від атак грубої сили тощо. Тоді я прочитав, що це так досить поширені і дізнався про основні заходи безпеки для запобігання цим атакам (багато питань та дублікатів на замовчуванні сервера стосуються цього, див., наприклад, цей або цей ).
Але зараз мені цікаво, чи все це варте зусиль. Я вирішив створити свій власний сервер здебільшого для розваги: я міг просто розраховувати на сторонні рішення, такі як ті, що пропонуються gitbucket.org, bettercodes.org тощо. Хоча частина розваг - це вивчення безпеки в Інтернеті, я не достатньо часу, щоб присвятити цьому, щоб стати експертом і бути майже впевненим, що я вжив правильних заходів профілактики.
Щоб вирішити, чи продовжуватиму грати з цим іграшковим проектом, я хотів би знати, що я насправді ризикую цим. Наприклад, в якій мірі також загрожують інші комп’ютери, підключені до моєї мережі? Деякі з цих комп'ютерів використовуються людьми з навіть меншими знаннями, ніж у мене під управлінням Windows.
Яка ймовірність того, що я потрапляю в справжні проблеми, якщо дотримуюся основних вказівок, таких як надійний пароль, вимкнений root-доступ для ssh, нестандартний порт для ssh і, можливо, відключення входу до пароля та використання одного з fail2ban, denyhosts або iptables правил?
Іншими словами, чи є якісь великі погані вовки, яких я маю боятися, чи все це здебільшого про відганяння дітей-сценаріїв?
Чи повинен Альфред дотримуватися сторонніх рішень, чи його рішення "зроби сам" безпечне?
Відповідь
Співавтор SuperUser TheFiddlerWins запевняє Альфреда, що це цілком безпечно:
IMO SSH - одна з найбезпечніших речей для прослуховування у відкритому Інтернеті. Якщо ви дійсно стурбовані, нехай він слухає на нестандартному висококласному порту. Я б як і раніше мав брандмауер (на рівні пристрою) між вашим ящиком та фактичним Інтернетом і просто використовував переадресацію портів для SSH, але це запобіжний захід проти інших служб. Сам SSH досить проклятий.
Я мати коли люди випадково потрапляли на мій домашній SSH-сервер (відкритий для Time Warner Cable). Ніколи не мав фактичного впливу.
Інший співавтор, Стефан, підкреслює, як легко додатково захистити SSH:
Налаштування системи автентифікації за допомогою відкритого ключа за допомогою SSH - це насправді тривіально і займає близько 5 хвилин для налаштування .
Якщо ви змусите все з’єднання SSH використовувати його, то це зробить вашу систему настільки стійкою, наскільки ви можете сподіватися, не вкладаючи багато в інфраструктуру безпеки. Чесно кажучи, це настільки просто та ефективно (якщо у вас немає 200 облікових записів - тоді стає брудно), що не використання цього повинно бути публічним правопорушенням.
Нарешті, Крейг Уотсон пропонує ще одну підказку щодо мінімізації спроб вторгнення:
Я також запускаю персональний git-сервер, відкритий для світу на SSH, і у мене також виникають ті самі проблеми грубої сили, що і у вас, тому я можу співчувати вашій ситуації.
TheFiddlerWins вже розглядає основні наслідки для безпеки відкриття SSH на загальнодоступному IP, але найкращим інструментом IMO у відповідь на спроби грубої сили є Fail2Ban - програмне забезпечення, яке контролює ваші файли журналів автентифікації, виявляє спроби вторгнення та додає правила брандмауера до локальної машини
iptablesбрандмауер. Ви можете налаштувати як кількість спроб до заборони, так і тривалість заборони (за замовчуванням 10 днів).
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
