Verifique se os logins raiz estão desabilitados PermitRootLogin no
. Também consideraria a desativação de senhas totalmente PasswordAuthentication no
e o uso de chaves públicas PubkeyAuthentication yes
.
Eu tenho rodado alguns servidores por um tempo relativamente longo, mas eu sempre os aluguei, então eu não tenho muita experiência em proteger o servidor atual (em oposição ao aplicativo que estou executando nele).
Agora, tenho a sensação de abrir meu pequeno servidor SSH doméstico na Internet.
Eu serei o único a usá-lo, minhas senhas são complicadas o suficiente, eu mudei a porta SSH padrão para algo em torno de 4000, a única porta acessível é essa porta SSH através do encaminhamento de porta no meu roteador / firewall, e Ele é atualizado automaticamente todas as noites (ele executa o Arch Linux, uma distribuição de lançamento).
Quais são, se houver, outras coisas que devo fazer para mantê-lo seguro?
Obrigado!
Certifique-se de que apenas o SSH-2 seja permitido (uma vez que o SSH-1 levantou algumas preocupações de segurança no passado ):
Protocol 2
Especifique quais são os únicos usuários autorizados a efetuar login via SSH:
AllowUsers bob, john
Para aumentar a segurança, proibir a autenticação de senha e usar a autenticação por chave pública:
PasswordAuthentication no
PubkeyAuthentication yes
Observação: este tutorial contém instruções para a criação de chaves e configurando a autenticação de chave pública.
Além dos pontos sobre como desabilitar o login de raiz ou usar somente a autenticação de chave pública, eu também verifico que não há nenhuma conta de usuário no sistema que tenha senhas triviais ou vazias. Você disse que suas senhas pessoais são boas, mas isso não exclui a criação de uma conta com uma senha ruim por algum outro motivo.
Como exemplo: eu tive que consertar uma rede onde o administrador anterior tinha instalado nagios em todos os seus sistemas a partir do código-fonte, e criava um usuário nagios sem senha, ou a senha "nagios", e então começou a obter três máquinas diferentes comprometidas.
Você pode querer olhar para algum tipo de ferramenta de lista negra de IP como o link . Bloqueia qualquer IP que tente logar sem sucesso muitas vezes e é altamente configurável.
Eu sugiro que você instale o Fail2ban! link
Ele bane um IP após x tentativas malsucedidas por y minutos, ajudando a manter os scriptkiddies sob controle;)
Recorrendo a revisões de registros nas partes / componentes pertinentes de seus sistemas (dependendo da configuração atual / específica) ...