Việc đặt mật khẩu rất mạnh có đủ để bảo mật SSH trên cổng 22 không?

8

Giả sử rằng không ai có thể đánh cắp mật khẩu thực tế từ chính tôi, thực tế 99,9% không thể sử dụng SSH để bẻ khóa máy chủ của tôi chạy SSH trên một cổng tiêu chuẩn bằng cách sử dụng rất mạnh (24 ký hiệu chứa chữ hoa, số thường, dấu ngoặc đơn, dấu gạch dưới, đô la, dấu chấm, vv và không có từ ngôn ngữ của con người) mật khẩu?

security  ssh 
Ivan
nguồn
2
Tôi sẽ không đăng bài này như một câu trả lời vì nhiều người dường như không đồng ý với tôi vì một số lý do, nhưng việc thay đổi cổng thành một thứ không chuẩn cũng sẽ giúp giảm bề mặt tấn công. Rõ ràng bạn sẽ cần sử dụng mật khẩu mạnh và luôn cập nhật máy chủ để cung cấp bảo mật thực sự, nhưng điều này sẽ giúp tránh các lần quét phổ biến cho các cổng mở.
Paul Kroon

Câu trả lời:

3

mặc dù hiếm, vẫn có khai thác 0 ngày ... vì vậy bạn không bao giờ biết. có lẽ bạn có thể giới hạn quyền truy cập vào cổng 22 [ở cấp độ tường lửa] chỉ với một vài máy chủ / mạng?

hoặc có lẽ bạn có thể đi theo cách bảo mật mặc dù tối nghĩa và thực hiện gõ cổng ?

pQd
nguồn
1
Tôi nghĩ rằng gõ cổng là ý tưởng tốt nhất sau đó. Giới hạn mạng / máy chủ là một giàn giáo, tôi rất di động và có xu hướng sử dụng các mạng wifi và 3G khác nhau.
Ivan
8

Hãy nhớ rằng mật khẩu CỦA BẠN có thể rất mạnh trong khi những người dùng khác có thể có mật khẩu thực sự yếu. Đặt AllowGroupshoặc AllowUsersvào /etc/ssh/sshd_configđể tắt quyền truy cập ssh cho người dùng khác.

Cũng nên nhớ rằng mật khẩu của bạn có thể quá an toàn: Mật khẩu này gần như chắc chắn sẽ được ghi lại.

Phải nói rằng tôi nghĩ bạn khá an toàn; nếu bạn kết hợp với cổng gõ hoặc vì vậy bạn rất an toàn.

Cả hai
nguồn
1
+1 cho Người dùng cho phép ... chắc chắn là một điểm cộng.
Paul Kroon
1
Và để có biện pháp tốt, hãy thêm fail2ban
tegbains
4

Tất cả phụ thuộc vào tốc độ kẻ tấn công có thể đập vào cổng tcp / 22 của bạn để đăng nhập. Nếu bạn không sử dụng thứ gì đó để chấm dứt các kết nối lặp đi lặp lại như vậy, đúng lúc có thể phát hiện ra bất kỳ mật khẩu nào. Trong trường hợp này, thời gian sẽ là một thời gian rất dài. Mấy tháng trời không ngừng đập. Trong nhật ký SSH, tôi đã đi dạo qua tôi đã thấy một chút búa trực tiếp đối với các tài khoản cụ thể và rất nhiều tiếng gõ cửa tìm kiếm mật khẩu yếu.

Tuy nhiên, bạn không thể cho rằng tất cả những kẻ tấn công là bình thường. Ai đó nhắm mục tiêu bạn cụ thể sẽ có khoản đầu tư để chờ vài tháng để đột nhập. Vì những lý do như thế này, khóa chia sẻ được ưa thích nếu có thể. Mật khẩu mà bạn mô tả rất có thể là ba số không thể bẻ khóa (trong các ràng buộc thời gian hợp lý). Tôi sẽ không nín thở trong năm phút.

sysadmin1138
nguồn
1
"Tất cả phụ thuộc vào tốc độ kẻ tấn công có thể đập vào cổng tcp / 22 của bạn để đăng nhập. Nếu bạn không sử dụng thứ gì đó để chấm dứt các kết nối lặp đi lặp lại như vậy" - Hiện tại nó có được thiết lập trong tất cả các bản phát hành phổ biến không?
Ivan
2
@Ivan Thất vọng, không, không phải vậy. apt-get install denyhosts(dựa trên debian) pkg_add -r denyhosts(FreeBSD) là một trong những điều đầu tiên cần làm trên một hộp mới.
Pete
2
Không phải lúc nào. Ubuntu không có nó theo mặc định và cũng không openSUSE hoặc Fedora / Centos. Các gói dựng sẵn tồn tại cho cả ba, nhưng bạn phải có hành động tích cực để bật nó lên.
sysadmin1138
3

Sử dụng denyhosts. Cũng xem xét sử dụng đăng nhập dựa trên khóa chứ không phải là một mật khẩu.

Pete
nguồn
Có, tôi sử dụng một khóa (và với một cụm mật khẩu tượng trưng ngẫu nhiên tốt, chỉ được viết ra trong tâm trí của tôi và với một ngày hết hạn có ý nghĩa). Nhưng vẫn có một mật khẩu cho người dùng mà tôi đã đặt theo cách tôi đã mô tả.
Ivan
1

Di chuyển sshd sang một cổng không chuẩn có thể là không đáng kể để thêm vào cấu hình của bạn và có thể sẽ loại bỏ 99% lưu lượng bot ssh. Tại sao phải phơi bày bản thân trước tất cả các cuộc tấn công vũ phu khi bạn có thể ẩn nấp dễ dàng như vậy. ;-)

Tôi cũng thường khuyên bạn nên định cấu hình sshd để chỉ sử dụng xác thực dựa trên cặp khóa SSH, nếu nó sẽ được tiếp xúc với Internet trên diện rộng. Miễn là bạn giữ khóa riêng của mình an toàn, kẻ xấu gần như không thể xác thực như bạn với máy chủ.

Như một nhà bình luận khác đã chỉ ra, điều này không bảo vệ bạn trước việc khai thác 0 ngày trong chính sshd. Luôn luôn là một ý tưởng tốt để giới hạn lưu lượng truy cập chỉ vào các máy cần kết nối thông qua các quy tắc tường lửa.

Patrick Heckenlively
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.