Колико је ризично покренути кућни сервер заштићен иза ССХ-а?
Када требате отворити нешто на вашој кућној мрежи на већи интернет, ССХ тунел је довољно сигуран начин да то урадите?
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подјела Стацк Екцханге-а, груписане од стране заједнице веб-локација за питања и одговоре.
Питање
Читач СуперУсер Алфред М. жели знати да ли је на правом путу са сигурношћу везе:
Недавно сам поставио мали сервер са ниским крајњим рачунаром који ради на дебиану са циљем да га користи као лично гит репозиториј. Омогућио сам ссх и био сам прилично изненађен брзином којом је претрпео нападе грубом силом и слично. Онда сам прочитао да је ово сасвим уобичајено и да сам научио о основним безбедносним мерама за одбијање ових напада (многа питања и дупликати на сервер дефаулт посла са њом, погледајте на пример овај или овај).
Али сада се питам да ли је све ово вредно труда. Одлучио сам да поставим свој сервер углавном за забаву: могао бих се ослонити на рјешења трећих страна као што су она која нуде гитбуцкет.орг, беттерцодес.орг, итд. Док је дио забаве учење о интернет сигурности, нисам довољно времена да се посвети томе да постане стручњак и да буде готово сигуран да сам предузео исправне мере превенције.
Да бих одлучио да ли ћу наставити да се играм са овим пројектом играчака, желео бих да знам шта заиста ризикујем у томе. На пример, у којој мери и други рачунари повезани са мојом мрежом такође прете? Неке од ових компјутера користе људи са још мањим знањем од мина који користи Виндовс.
Колика је вероватноћа да ћу ући у стварну невољу ако пратим основне смернице као што су јака лозинка, онемогућен роот приступ за ссх, нестандардни порт за ссх и евентуално онемогућавање пријаве за лозинку и коришћење једног од фаил2бан, денихостс или иптаблес правила?
Другим ријечима, има ли неких великих лоших вукова којих бих се требала бојати или је све то углавном због одбацивања скриптарија?
Да ли Алфред треба да се држи решења треће стране, или је његово ДИИ решење сигурно?
Одговор
Допринос СуперУсер-а ТхеФиддлерВинс охрабрује Алфреда да је сасвим сигурно:
ИМО ССХ је једна од најсигурнијих ствари за слушање на отвореном интернету. Ако сте заиста забринути, можете ли га слушати на нестандардном хигх енд порту. И даље бих имао заштитни зид (на нивоу уређаја) између ваше кутије и стварног Интернета и само користио порт форвардинг за ССХ али то је предострожност против других услуга. Сам ССХ је прилично солидан.
И имати да су људи повремено ударали мој ССХ сервер (отворен за Тиме Варнер Цабле). Никада нисам имао стварни утицај.
Други сарадник, Степхане, наглашава како је лако додатно заштитити ССХ:
Постављање система аутентификације јавног кључа са ССХ је стварно тривијално и траје око 5 минута за постављање.
Ако присилите сву ССХ везу да је употребите, онда ће ваш систем учинити толико отпорним као што се можете надати без улагања ЛОТ-а у сигурносну инфраструктуру. Искрено, то је тако једноставно и ефективно (све док немате 200 рачуна - онда постаје неуредно) да не користити то треба да буде јавни прекршај.
Коначно, Цраиг Ватсон нуди још један савет да минимизира покушаје упада:
Такође водим и лични гит сервер који је отворен за свет на ССХ-у, а имам и исте проблеме као и ти, тако да могу да саосећам са твојом ситуацијом.
ТхеФиддлерВинс је већ адресирао главне сигурносне импликације постојања ССХ-а на јавно доступном ИП-у, али најбоља алатка ИМО као одговор на покушаје бруталне употребе је Фаил2Бан - софтвер који прати ваше логичке датотеке за идентификацију, открива покушаје упада и додаје правила фиревалл-а локално
иптаблес
ватрени зид. Можете конфигурирати и колико покушаја прије забране, као и дужину забране (мој задани је 10 дана).
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.