L'autenticazione della chiave pubblica SSH è sufficiente per proteggere un server se la whitelist IP è disabilitata?

5

Attualmente sto lavorando per una società di startup che gestisce un server su AWS. Attualmente, il nostro server è configurato in modo tale che per accedervi tramite SSH, è necessario essere su un IP elencato in bianco (configurato in AWS) e avere una chiave RSA valida per la connessione.

Tuttavia, lo sviluppatore attuale con cui lavoriamo ha un IP dinamico che cambia di giorno in giorno, il che rende il mantenimento della lista bianca uno sforzo che richiede molto tempo (diversi fusi orari, comunicazioni, ecc.).

Quanto di un rischio per la sicurezza è nel breve termine di abbandonare la lista bianca mentre lavoriamo con questo sviluppatore?

Nota: il server al momento non contiene dati veramente sensibili (solo alcuni codici proprietari), tuttavia nel prossimo futuro lo farà.

    
posta Scott F 03.08.2017 - 23:04
fonte

2 risposte

1

How much of a security risk is it in the short term to drop the white list while we work with this developer?

Abbastanza nessuno, se tu e gli altri sviluppatori proteggete le loro chiavi (memorizzate i file crittografati, avete crittografato i dischi rigidi) e l'autenticazione della password è disabilitata nel server SSH.

Se disabiliti l'autenticazione della password, l'attacco mirato che usa la chiave pubblica indovina (e la chiave privata) non ha senso, a meno che qualcuno non rilasci la chiave privata (qualcuno è infettato da virus / malware o rubato con chiave / hard disk non crittografati ).

Nota, puoi impostare almeno altre chiavi degli sviluppatori affinché siano accessibili solo da IP specifico, anteponendo from="pattern-list" davanti alla chiave pubblica in authorized_keys file. Dal momento che può contenere anche schemi, puoi creare una maschera per il tuo sviluppatore "dinamico".

    
risposta data 03.08.2017 - 23:40
fonte
0

Se impostato correttamente e utilizza chiavi forti, il rischio è estremamente basso.

L'autenticazione della chiave SSH è sufficiente per proteggere un server SSH esposto a Internet.

Suggerisco anche di usare fail2ban, oltre a configurare il firewall per limitare le connessioni SSH.

ufw limit 22 se utilizzi UFW e porta 22.

La whitelist IP è più intensa. Forse potresti trovare la gamma di IP da cui l'ISP dello sviluppatore assegna e autorizzare l'intera gamma?

    
risposta data 03.08.2017 - 23:44
fonte

Leggi altre domande sui tag