Sta vincolando tutti i servizi privati all'indirizzo 127.0.0.1 e quindi accedendo tramite SSH utilizzando una coppia di chiavi RSA di 4096 bit sicuri?

3

È sicuro legare tutti i servizi privati solo all'indirizzo 127.0.0.1, quindi utilizzare un port forwarding locale del client SSH locale con un file di coppie di chiavi pubbliche / private RSA di 4096 bit e una passphrase per accedervi? Capisco che 4096 bit siano sicuri per il futuro prevedibile a condizione che nessuno rubi la passphrase alla mia chiave pubblica SSH.

(A seconda di ciò che i servizi pubblici sono in grado di accedere naturalmente)

(E ovviamente dopo lo scambio iniziale delle chiavi ...)

Inoltre, sarebbe utile limitare il numero di computer interni che possono accedervi utilizzando l'indirizzo di origine, la porta di destinazione e probabilmente l'indirizzo mac sul firewall del server?

Suppongo anche che dovrei disattivare l'accesso all'account root su ssh, perché qualcuno possa entrare e apportare modifiche al file hosts.

Aiuterebbe anche a limitare quali porte possono essere connesse usando questo metodo? (non sono sicuro di come farlo, ma scommetto che è nella configurazione SSH)

Questo è sicuro perché o perché no? E c'è qualcosa che posso fare per renderlo più sicuro?

    
posta leeand00 24.11.2015 - 03:37
fonte

1 risposta

4

La descrizione dei servizi locali a cui si accede solo tramite inoltro sicuro SSH è vaga per valutare la sicurezza della propria configurazione. Ciò che sta facendo questa installazione è limitare l'accesso al servizio a specifici host, ma niente di più. L'uso della crittografia a 4096 bit del trasporto non rende magicamente sicuro il servizio stesso, protegge solo l'inoltro contro lo sniffing e la manipolazione.

La seguente configurazione simile alla tua l'ho vista diverse volte e mentre sembra al primo sguardo non lo è:

  • qualche interfaccia web per amministrare un dispositivo
  • inoltrato tramite SSH al computer locale
  • accessibile lì come http (s): //127.0.0.1: some-port /

Se visiti questa interfaccia web con lo stesso browser che usi per la normale navigazione, un utente malintenzionato può eseguire un Attacco CSRF contro il server su 127.0.0.1, ovvero l'interfaccia amministrativa inoltrata. Oppure potrebbe utilizzare un attacco di rebinding DNS per accedere al dispositivo da Internet utilizzando il browser come relay.

Pertanto proteggere il trasporto e limitare l'accesso a specifici host è solo una parte della protezione di un servizio. Soprattutto con i servizi web, devi dare un'occhiata a tutti i soliti attacchi basati sul web, che non svaniscono solo utilizzando un trasporto crittografato. Ci sono probabilmente cose simili a cui prestare attenzione per altri tipi di servizi.

    
risposta data 24.11.2015 - 07:39
fonte

Leggi altre domande sui tag