protezione delle connessioni SSH

Naviga le tue risposte
3

Chiedo questo a solo scopo di sicurezza (il mio sito web). Io uso PuTTY per connettermi al mio server tramite SSH, e oggi ho scoperto che è piuttosto facile tentare la connessione al mio server; devi semplicemente digitare il mio indirizzo nel campo hostname e puoi andare avanti e provare a connetterti.

Mi sono incuriosito e ho provato questo su molti siti; alcuni mi hanno permesso di tentare il login, ma con la maggior parte ho avuto una connessione rifiutata o qualcosa del genere. Ho persino ottenuto il loro IP tramite ping e il risultato è stato lo stesso. Mi piacerebbe sapere come sono esattamente (gli amministratori) accedere ai loro server? alcuni server SSH-less? forse c'è un IP nascosto che usano?

    
posta user1938653 05.11.2016 - 01:57
fonte

4 risposte

2

La maggior parte dei server ssh in questi giorni dovrebbe essere configurata per consentire solo l'autenticazione basata su chiave pubblica, non l'autenticazione basata su password. L'autenticazione basata su password è vista dallo scanner automatico come un invito a indovinare le password.

A seconda della versione del software del server ssh, potresti utilizzare una crittografia obsoleta. È necessario disabilitare la crittografia errata e passare alle chiavi ed25519. L'ultima versione pre-release di mastice li supporta.

Puoi usare questo scanner per controllare il tuo server: discovery.cryptosense.com

    
risposta data 05.11.2016 - 02:28
fonte
2

Una manciata di suggerimenti:

  • Assicurati di eseguire la versione più recente del tuo server SSH.
  • Cambia la porta predefinita in una porta alta vedi / etc / ssh / sshd_config nella maggior parte dei casi
  • Configuralo in modo che root non possa accedere direttamente
  • Se possibile, consenti solo l'autenticazione basata su chiave pubblica, disabilita le altre autorizzazioni
  • Se è un'opzione, sfrutta il tuo firewall (IPTables) per limitare l'accesso al tuo demone SSH da pochi indirizzi IP (se questa è un'opzione).
  • Verifica le tue cifrature consentite con nmap -p --script ssh2-enum-algos
  • Se è necessario avere accesso a questo sistema, considerare globalmente l'utilizzo di una VPN. Potresti quindi richiedere prima la connessione VPN e poi una sessione SSH dopo che la VPN è stata stabilita. Il vantaggio è che aggiunge un secondo livello di protezione riducendo le probabilità che una vulnerabilità esista in entrambi i livelli contemporaneamente.
  • Utilizza account separati da umani e software. Gli account delle applicazioni separati per l'accesso al software dei tuoi sistemi sono una buona cosa.
  • La registrazione remota è utile se il sistema viene compromesso
  • Utilizza Fail2Ban
  • Monitoraggio del log di installazione per avvisarti quando si verifica un comportamento insolito.
  • Inoltre, segui le normali procedure di sicurezza per mantenere sicuro il sistema operativo sottostante.
  • Assicurati di essere avvisato quando vengono rilasciate nuove realizzazioni del demone SSH.
  • Sii disciplinato sulla verifica della sicurezza dei tuoi sistemi su base regolare.
  • Se possibile, automatizza gli aspetti dei test di sicurezza che ti avvisano se i tuoi sistemi sono sempre vulnerabili a problemi noti.

Tenere presente che solo l'abilitazione dell'autenticazione a chiave pubblica non protegge il sistema da alcuni tipi di vulnerabilità di daemon ssh.

Nota: se si sta cambiando la porta su un sistema remoto non basta cambiare la porta e sperare per il meglio. Abilitare la porta alta in modo tale che sia la porta predefinita 22 sia la nuova porta funzionino entrambe contemporaneamente. Provalo e assicurati che le regole del tuo firewall siano abilitate in modo appropriato. Una volta che tutto funziona su entrambe le porte, disabilitare la porta predefinita e riprovare per assicurarsi che sia spento. Allo stesso modo, se si utilizza Fail2Ban, assicurarsi di regolare anche la porta di ascolto SSH in Fail2Ban.

    
risposta data 05.11.2016 - 03:46
fonte
1

I server professionali o commerciali normalmente girano dietro un proxy inverso che consente solo il traffico verso la porta HTTP o HTTPS (o SMTP / IMAP / POP per i server di posta). Quindi, anche se hanno un server ssh per scopi amministrativi, non puoi raggiungerlo direttamente da internet.

Se sono localmente ospitati (datacenter privato all'interno dell'organizzazione) l'amministrazione è possibile solo da una LAN, che normalmente contiene solo server e personale. Spesso hai anche un accesso VPN per consentire l'amministrazione a distanza. Ma anche in questo caso gli amministratori devono:

  • connettersi alla VPN
  • ssh all'indirizzo interno

Almeno questo li protegge dalle scansioni delle porte e dagli script kiddies. Solo i proxy di revisione e l'accesso VPN sono direttamente raggiungibili. Ciò aggiunge molta sicurezza, poiché un proxy inverso è un software semplice che si prevede contenga meno problemi di implementazione della sicurezza rispetto a un server Web e la macchina che li supporta ha tutte le porte non necessarie chiuse e il software server non necessario disattivato o rimosso. E l'accesso VPN è anche altamente protetto.

    
risposta data 05.11.2016 - 10:45
fonte
0

La porta su cui SSH è in ascolto può essere modificata nella configurazione che può essere eseguita per ridurre i tentativi automatici di scansione e forza bruta. La porta SSH può anche essere autorizzata per consentire solo la connessione di indirizzi IP attendibili. link

È possibile utilizzare anche metodi di sicurezza più avanzati come bussare alla porta. Il bussare alla porta è quando la porta è nascosta e viene rivelata solo quando il server riceve un determinato schema di traffico di rete. link

È improbabile che alcuni server, come quelli che eseguono Windows, eseguano un server SSH e utilizzino normalmente RDP per l'amministrazione.

    
risposta data 05.11.2016 - 02:24
fonte

Leggi altre domande sui tag

Quale pericolo può causare un breve accesso LAN al mio router? Previeni il dirottamento di sessione sul servizio blog?