Колко рисковано е да се изпълнява домашен сървър, обезпечен зад SSH?
Когато трябва да отворите нещо в домашната си мрежа към по-големия интернет, е SSH тунел, който е достатъчно сигурен начин да го направите?
Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.
Въпроса
Четецът на суперпотребител Алфред М. иска да знае дали е на прав път с сигурност на връзката:
Неотдавна създадох малък сървър с нисък компютър, работещ с debian, с цел да го използва като личен git хранилище. Аз активирах ssh и бях доста изненадан от бързината, с която е страдал от груби атаки и други подобни. След това прочетох, че това е доста често срещано явление и научих за основните мерки за сигурност, които да предотвратят тези атаки (много въпроси и дубликати на сървъра се свързват с него, вижте например този или този).
Но сега се чудя дали всичко това си струва усилията. Реших да настроя собствения си сървър най-вече за удоволствие: мога просто да разчитам на решения на трети страни като тези, предлагани от gitbucket.org, bettercodes.org и т.н. Докато част от забавлението е да научите за интернет сигурността, не съм достатъчно време, за да се посвети на него, за да стане експерт и почти сигурен, че съм взел правилните мерки за превенция.
За да реша дали ще продължа да играя с този проект за играчки, бих искал да знам какво наистина рискувам да направя. Например в каква степен заплашват и другите компютри, свързани с мрежата ми? Някои от тези компютри се използват от хора с още по-малко познания от моите Windows.
Каква е вероятността да вляза в реални проблеми, ако следвам основни насоки като силна парола, деактивиран root достъп за ssh, нестандартен порт за ssh и евентуално деактивиране на парола за вход и използване на правила от fail2ban, denyhosts или iptables?
Казано по друг начин, има ли някакви големи лоши вълци, на които трябва да се страхувам, или всичко това е най-вече за отблъскване на скрити деца?
Трябва ли Алфред да се придържа към решенията на трети страни, или е сигурно, че неговото DIY решение?
Отговорът
Сътрудникът на SuperUser TheFiddlerWins уверява Алфред, че е съвсем безопасно:
IMO SSH е едно от най-безопасните неща, които трябва да слушате на открития интернет. Ако наистина сте загрижени да го слушате на нестандартен висок порт. Все още имам защитна стена (на ниво устройство) между кутията и действителния интернет и просто използвам препращане на порт за SSH, но това е предпазна мярка срещу други услуги. Самата SSH е доста проницателна.
аз имам имаше хора удари моя дом SSH сървър от време на време (отворен за Time Warner Cable). Никога не е имало действително въздействие.
Друг участник, Стефан, подчертава колко лесно е да се защити SSH:
Създаването на система за удостоверяване с публичен ключ с SSH е наистина тривиално и отнема около 5 минути за настройка.
Ако принудите цялата SSH връзка да я използвате, тогава тя ще направи системата ви толкова устойчива, колкото можете да се надявате, без да инвестирате LOT в инфраструктурата за сигурност. Честно казано, това е толкова просто и ефективно (стига да нямате 200 акаунта - тогава става объркано), че да не го използвате, трябва да бъде обществено престъпление.
И накрая, Крейг Уотсън предлага още един съвет да минимизира опитите за проникване:
Също така ползвам личен git сървър, който е отворен към света на SSH, а също така имам същите проблеми с груба сила, както и вие, така че мога да съчувствам на вашата ситуация.
TheFiddlerWins вече е адресирала основните проблеми, свързани със сигурността, че SSH е отворена за публично достъпен IP, но най-добрият инструмент IMO в отговор на опитите с груба сила е Fail2Ban - софтуер, който следи вашите регистрационни файлове за идентифициране, открива опити за проникване и добавя правила за защитна стена към местната машина
IPTABLESзащитна стена. Можете да конфигурирате както колко опита преди забраната, така и продължителността на забраната (моят по подразбиране е 10 дни).
Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.
