SSH da rede pública?

7

É seguro usar o SSH para uma máquina enquanto uso uma rede wifi não segura em locais públicos? A máquina também seria colocada atrás de um roteador.

    
por HackToHell 25.03.2011 / 18:36

3 respostas

10

Algumas coisas a ter em conta:

Ataques de força bruta contra o seu servidor SSH

Se você inicializar um servidor SSH público, talvez queira verificar os arquivos de log para ver se alguém está tentando se conectar a ele continuamente. Eles podem estar tentando "forçar a força" da sua senha ou explorar o servidor SSH de alguma outra forma. Pode ser uma boa idéia mover o servidor SSH para alguma outra porta (em vez do padrão da porta 22), embora isso possa causar problemas se as pessoas tiverem burlado o firewall especificamente para o SSH. (tornando a porta 443 uma escolha popular, se a máquina não for também um servidor HTTPS)

Outra estratégia para mitigar ataques de força bruta é diminuir as conexões de entrada para o seu servidor SSH (você pode fazer isso facilmente no Linux com algo como ufw ou qualquer ferramenta de firewall usada pela sua plataforma)

Ataques man-in-the-middle

Na primeira vez em que você se conectar ao seu servidor SSH, ele informará uma impressão digital da chave ao seu cliente SSH, que armazenará em cache. Verifique a impressão digital com cuidado. O SSH irá avisá-lo com uma mensagem de erro de aparência assustadora se isto alguma vez mudar. Se isto acontecer, preste atenção! Você também pode obter este erro se você refazer a imagem do servidor e uma nova chave for gerada.

Autenticação de chave pública

O SSH suporta autenticação de chave pública. Isso significa que você pode gerar um par de chaves público / privado, onde você armazena localmente uma chave privada + senha, e o servidor sabe que sua chave pública (associada a essa chave privada) está autorizada a se conectar. Isso permite separar sua senha da sua autenticação. (se alguém conseguir fazer um ataque man-in-the-middle ou comprometer seu servidor de alguma outra forma, ou conseguir colocar um keylogger no seu cliente, ele ainda precisará da sua chave privada). Além dos benefícios de segurança, também é mais conveniente porque você geralmente não precisa digitar sua senha toda vez que se conectar. (você acabou de digitar sua senha uma vez quando você coloca sua chave privada em cache)

    
por 25.03.2011 / 19:10
2

Seria tão seguro quanto (1) sua implementação do sshd e (2) seu roteador. Geralmente sim.

    
por 25.03.2011 / 18:38
0

Em geral sim. Eu sugeriria, no entanto, usar seu próprio computador em vez de outros, e usar a chave gerada em vez da senha. Em geral, esses dois fornecem segurança suficiente.

Note também que você deve encaminhar apenas as portas necessárias.

    
por 25.03.2011 / 19:43