Unter der Annahme, dass niemand mir das eigentliche Passwort stehlen kann, ist es praktisch zu 99,9% unmöglich, SSH zu verwenden, um in meinen Server einzudringen, auf dem SSH auf einem Standardport mit sehr starken Zeichen ausgeführt wird (24 Symbole mit Groß-, Kleinbuchstaben, Klammern, Unterstrichen, Dollar, Punkte usw. und keine Wörter in menschlicher Sprache) Passwort?
8
Antworten:
Obwohl selten, gibt es immer noch 0-Tage-Exploits ... also weiß man es nie. Vielleicht können Sie den Zugriff auf Port 22 [auf Firewall-Ebene] nur auf wenige Hosts / Netzwerke beschränken?
oder vielleicht können Sie den Weg der Sicherheit durch die Dunkelheit gehen und das Klopfen von Ports implementieren ?
quelle
Denken Sie daran, dass IHR Passwort möglicherweise sehr sicher ist, während andere Benutzer möglicherweise sehr schwache Passwörter haben. Setzen Sie
AllowGroups
oderAllowUsers
in/etc/ssh/sshd_config
, um den SSH-Zugriff für andere Benutzer auszuschalten.Denken Sie auch daran, dass Ihr Passwort möglicherweise zu sicher ist: Dieses Passwort wird mit ziemlicher Sicherheit notiert.
Trotzdem denke ich, dass du ziemlich sicher bist; Wenn Sie mit Portklopfen oder so kombinieren, sind Sie sehr sicher.
quelle
Es hängt alles davon ab, wie schnell ein Angreifer auf Ihren TCP / 22-Port hämmern kann, um sich anzumelden. Wenn Sie solche wiederholten Verbindungen nicht verwenden, kann jedes Kennwort rechtzeitig erkannt werden. In diesem Fall wird die Zeit sehr lang sein. Monate ständiges Hämmern. In den SSH-Protokollen, durch die ich einen Spaziergang gemacht habe, habe ich wenig gerichtetes Hämmern gegen bestimmte Konten und viele Türklopfen gesehen, die nach schwachen Passwörtern suchten.
Sie können jedoch nicht davon ausgehen, dass alle Angreifer gelegentlich sind. Jemand, der sich speziell an Sie richtet, hat die Investition, mehrere Monate zu warten, um einzubrechen. Aus solchen Gründen wird Shared Key nach Möglichkeit bevorzugt. Es ist sehr wahrscheinlich, dass das von Ihnen beschriebene Passwort drei Neun ist, die nicht geknackt werden können (unter angemessenen zeitlichen Einschränkungen). Ich würde meinen Atem nicht für fünf Neun anhalten.
quelle
apt-get install denyhosts
(debian based)pkg_add -r denyhosts
(FreeBSD) ist eines der ersten Dinge, die auf einer frischen Box zu tun sind.Verwenden Sie Denyhosts. Erwägen Sie auch die Verwendung eines schlüsselbasierten Logins anstelle eines Passwrods.
quelle
Das Verschieben von sshd auf einen nicht standardmäßigen Port wäre wahrscheinlich trivial, um Ihre Konfiguration zu erweitern, und würde wahrscheinlich 99% des ssh-Bot-Verkehrs eliminieren. Warum sollten Sie sich all den Brute-Force-Angriffen aussetzen, wenn Sie sich so leicht verstecken können? ;-);
Normalerweise empfehle ich außerdem, sshd so zu konfigurieren, dass nur die auf SSH-Schlüsselpaaren basierende Authentifizierung verwendet wird, wenn es dem Internet insgesamt ausgesetzt sein soll. Solange Sie Ihren privaten Schlüssel sicher aufbewahren, ist es für die Bösen fast unmöglich, sich beim Server zu authentifizieren.
Wie ein anderer Kommentator bereits betont hat, schützt dies Sie nicht vor 0-Tage-Exploits in sshd selbst. Es ist immer eine gute Idee, den Datenverkehr auf die Computer zu beschränken, die über Firewall-Regeln eine Verbindung herstellen müssen.
quelle