Il mio server ssh è sicuro perché utilizzo DenyHosts e non autorizzo l'accesso root?

2

Non sono affatto un esperto in sicurezza online, quindi volevo delineare i passi che sto facendo per rimanere il più sicuro possibile e tuttavia renderlo il più semplice possibile per ottenere l'accesso al mio sistema da qualsiasi luogo (entro limiti ragionevoli).

Ho impostato un openssh-server sul mio linux ( debian wheezy ) PC e abilitato il port forwarding per la porta 22. Ho anche installato il pacchetto DenyHosts e lo ho impostato con i parametri predefiniti (blocco degli indirizzi IP dopo 10 tentativi non validi con il nome utente corretto o 5 tentativi di nome utente non validi). Ho disabilitato l'accesso root direttamente (cioè tentando di accedere come root fallirà e dopo il prossimo tentativo il tuo IP sarà bloccato).

Ho permesso che un solo account utente sia accessibile e ho usato una password che considererei sicura (lettere maiuscole e minuscole e numeri, niente di ovvio o relativo a me).

Questa è una configurazione sicura? Ci sono evidenti problemi di sicurezza che mi mancano?

Comprendo che "best practice" è utilizzare una coppia di chiavi pubblica / privata, ma temo che ciò renderà troppo difficile l'accesso da un nuovo computer. Quindi supponiamo che prenda il mio laptop (o il dispositivo di qualcuno di cui mi fido) e lo utilizzi per accedere tramite putty dallo starbucks locale o da internet cafe. È sicuro, data la mia attuale configurazione? E se no, cosa dovrei cambiare per renderlo sicuro?

Spero che queste domande non siano troppo vaghe. Sono relativamente nuovo a questo argomento.

    
posta quant 10.08.2014 - 13:47
fonte

2 risposte

4

La sicurezza è un concetto relativo. Non posso dire se una determinata configurazione è sicura perché c'è sempre una pratica più sicura. Come hai detto, l'uso di una coppia di chiavi pubblica / privata è più sicuro, ma non sei disposto a sacrificare la praticità per una maggiore sicurezza. In definitiva, devi trovare un equilibrio tra praticità e sicurezza con cui ti trovi a tuo agio.

Potresti voler esaminare i filtri GeoIP per limitare i tuoi accessi SSH solo da un determinato paese. Ciò impedirà i tentativi di forza bruta da altri paesi.

Ulteriori informazioni sui filtri GeoIP qui: link

Un'altra possibile misura è di avere SSH in ascolto su una porta non predefinita. La maggior parte degli scanner automatici eseguirà solo la scansione della porta 22 e quindi non rileverà il server se è in esecuzione su altre porte. Tuttavia, ci sono anche degli svantaggi. Per esempio. in determinati luoghi, gli internet cafè potrebbero bloccare queste porte non predefinite.

Ulteriori informazioni sulla porta non predefinita qui: link

    
risposta data 10.08.2014 - 14:05
fonte
2

limbenjamin ha l'idea giusta. Ma accanto ai suoi suggerimenti, potresti anche voler esaminare i servizi di verifica in due passaggi che possono inviare un testo al tuo telefono e / o e-mail con un codice prima di fornirti l'accesso al server.

Quanto segue è una buona risorsa per impostare la verifica in due passaggi tramite l'app Google Authenticator.

link

    
risposta data 10.08.2014 - 14:17
fonte

Leggi altre domande sui tag