Configurazione di lavoro minima per una ragionevole sicurezza in openssh su Linux [duplicato]

Question

Configurazione di lavoro minima per una ragionevole sicurezza in openssh su Linux [duplicato]

#1 da (2 voti)

1

Voglio connetterti dal mio laptop al server di casa (entrambi eseguono Linux, avviso che desidero esplicitamente che il mio utente possa diventare root, per esempio per installare un nuovo software): il server ha il seguente sshd_config :

AllowUsers <zzz-my-user>
PermitRootLogin no
HostKey /etc/ssh/ssh_host_rsa_key
ChallengeResponseAuthentication no
PasswordAuthentication no
# PubkeyAcceptedKeyTypes ssh-rsa*
LoginGraceTime 8
X11Forwarding no
PrintMotd no
MaxStartups 2:30:10
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server

sul client con cui ho agito

mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -o -t rsa -b 4096

e poi ha aggiunto la chiave pubblica nel server in .ssh/authorized_keys , dove ho anche agito con

sudo ssh-keygen -o -N '' -b 4096 -t rsa -f /etc/ssh/ssh_host_rsa_key

Pensi che questa procedura e configurazione minime possano garantire un ragionevole livello di sicurezza? Consiglieresti qualche miglioramento?

linux ssh rsa openssh

posta jj_p 06.03.2016 - 18:25

fonte

1 risposta

Leggi altre domande sui tag linux ssh rsa openssh

Motivo del nome del soggetto in un certificato X.509 Ripristino dello stack frame dopo l'esecuzione del payload

score 2 · Accepted Answer

Se stai utilizzando una versione abbastanza recente di openssh, ti consiglio piuttosto
```
PermitRootLogin without-password
```
Non dovrebbe importare se non si consente l'autenticazione tramite password (ma per ulteriori motivi quando si decide di consentirlo per qualche motivo).
Non sei sicuro di cosa intendi con " essere in grado di eseguire il root ", ma se vuoi consentire il login root, devi anche elencare quell'utente in AllowUsers , se <zzz-my-user> non è root.
UsePrivilegeSeparation sandbox è l'impostazione predefinita corrente. Funziona bene e aggiunge un ulteriore livello di sicurezza.

Altre opzioni dipendono dai casi d'uso che è necessario utilizzare e da cosa si desidera proteggere. Ma generalmente il tunnel proibitivo, il port forwarding o l'inoltro X11 potrebbero essere utili se non si desidera utilizzarlo.