Hjemmeside » hvordan » Hvor risikabelt er det at køre en hjemmeserver sikret bag SSH?

    Hvor risikabelt er det at køre en hjemmeserver sikret bag SSH?

    Når du skal åbne noget på dit hjemmenetværk til det større internet, er en SSH-tunnel en sikker nok måde til at gøre det?

    Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af ​​SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

    Spørgsmålet

    SuperUser læser Alfred M. ønsker at vide, om han er på rette spor med forbindelsessikkerhed:

    Jeg har for nylig oprettet en lille server med en lav-computer, der kører debian med det formål at bruge det som et personlig git repository. Jeg har aktiveret ssh og var helt overrasket over den hurtighed, hvor den led af brute force attacks og lignende. Så læser jeg, at dette er ret almindeligt og lært om grundlæggende sikkerhedsforanstaltninger for at afværge disse angreb (mange spørgsmål og duplikater på serverfault beskæftiger sig med det, se f.eks. Denne eller denne).

    Men nu undrer jeg mig over, om alt dette er værd at gøre. Jeg besluttede at oprette min egen server for det meste for sjov: Jeg kunne bare stole på tredjepartsløsninger som dem, der tilbydes af gitbucket.org, bettercodes.org osv. Mens en del af det sjove handler om at lære om internetsikkerhed, har jeg ikke nok tid til at dedikere til at blive ekspert og være næsten sikker på at jeg tog de rette forebyggende foranstaltninger.

    For at afgøre, om jeg vil fortsætte med at lege med dette legetøjsprojekt, vil jeg gerne vide, hvad jeg virkelig risikerer ved at gøre det. For eksempel, i hvilket omfang truer de andre computere til mit netværk også? Nogle af disse computere bruges af mennesker med endnu mindre viden end min kører Windows.

    Hvad er sandsynligheden for, at jeg kommer i reelle problemer, hvis jeg følger grundlæggende retningslinjer, såsom stærk adgangskode, deaktiveret rodadgang til ssh, ikke standardport til ssh og muligvis deaktivering af adgangskode login og brug af en af ​​fail2ban, denyhosts eller iptables regler?

    På en anden måde er der nogle store dårlige ulve, jeg burde frygte eller det hele handler om at shooing away script kiddies?

    Skal Alfred holde sig til tredjepartsløsninger, eller er hans DIY-løsning sikker?

    Svaret

    SuperUser bidragyder TheFiddlerWins beroliger Alfred at det er helt sikkert:

    IMO SSH er en af ​​de sikreste ting at høre på det åbne internet. Hvis du er meget bekymret, skal du lytte på en ikke-standardiseret high end port. Jeg vil stadig have en firewall (enhedsniveau) mellem din boks og det egentlige internet og bare bruge port videresendelse til SSH, men det er en sikkerhedsforanstaltning mod andre tjenester. SSH selv er temmelig forbandet solidt.

    jeg har havde folk ramt mit hjem SSH server lejlighedsvis (åben for Time Warner Cable). Aldrig haft en faktisk indvirkning.

    En anden bidragyder, Stephane, fremhæver, hvor nemt det er at yderligere sikre SSH:

    Oprettelse af et public key-godkendelsessystem med SSH er virkelig trivielt og tager cirka 5 minutter at installere.

    Hvis du tvinger alle SSH-forbindelser til at bruge det, vil det gøre dit system temmelig så elastisk som du kan håbe uden at investere en masse i sikkerhedsinfrastruktur. Helt ærligt er det så simpelt og effektivt (så længe du ikke har 200 konti - så bliver det rodet), at du ikke bruger det burde være en offentlig lovovertrædelse.

    Endelig tilbyder Craig Watson et andet tip til at minimere forsøg på indtrængen:

    Jeg kører også en personlig git-server, der er åben for verden på SSH, og jeg har også samme brute-force-problemer som dig, så jeg kan sympatisere med din situation.

    TheFiddlerWins har allerede adresseret de vigtigste sikkerhedsmæssige konsekvenser af at have SSH åbent på en offentligt tilgængelig IP, men det bedste værktøjs-IMO som reaktion på brutale kraftforsøg er Fail2Ban - software, der overvåger dine autentificeringslogfiler, registrerer indtrængningsforsøg og tilføjer firewallregler til Maskinens lokaleiptables firewall. Du kan konfigurere både hvor mange forsøg før et forbud og også længden af ​​forbuddet (min standard er 10 dage).


    Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.