Está definindo uma senha muito strong o suficiente para proteger um SSH na porta 22?

8

Presumindo que ninguém pode roubar a senha de mim mesmo, é praticamente 99,9% impossível usar o SSH para invadir meu servidor executando SSH em uma porta padrão usando muito strong (24 símbolos contendo letras maiúsculas, números minúsculos, parênteses, sublinhados , dólares, períodos, etc. e sem palavras de linguagem humana) senha?

    
por Ivan 09.07.2010 / 00:49

5 respostas

3

apesar de raro, ainda existem exploits de 0 dias ... então você nunca sabe. talvez você possa limitar o acesso à porta 22 [no nível de firewall] apenas para poucos hosts / redes?

ou talvez você consiga usar a segurança, embora de maneira obscura, e implementar porta batendo ?

    
por 09.07.2010 / 00:56
8

Lembre-se de que a sua senha pode ser muito strong, enquanto outros usuários podem ter senhas realmente fracas. Coloque AllowGroups ou AllowUsers em /etc/ssh/sshd_config para desativar o acesso ssh a outros usuários.

Lembre-se também de que sua senha também pode ser segura: essa senha quase certamente será gravada.

Dito isto, acho que você está bem seguro; se você combinar com a porta batendo ou então você é muito seguro.

    
por 09.07.2010 / 02:29
4

Tudo depende da rapidez com que um invasor pode martelar em sua porta tcp / 22 para logins. Se você não estiver usando algo para encerrar essas conexões repetidas, com o tempo, qualquer senha poderá ser descoberta. Neste caso, o tempo será muito longo. Meses de martelamento constante. Nos registros do SSH em que passei, vi pequenos golpes direcionados contra contas específicas e muitas batidas de portas à procura de senhas fracas.

No entanto, você não pode presumir que todos os invasores são casuais. Alguém que tenha como alvo você especificamente terá o investimento para esperar vários meses para entrar. É por motivos como esse que a chave compartilhada é preferida sempre que possível. A senha que você descreve é muito provável que seja de três noves impossíveis de quebrar (em restrições de tempo razoáveis). Eu não prenderei minha respiração por cinco noves.

    
por 09.07.2010 / 00:58
3

Use denyhosts. Considere também usar o login baseado em chave em vez de um passwrod.

    
por 09.07.2010 / 01:25
1

Mover o sshd para uma porta não padrão provavelmente seria trivial para adicionar à sua configuração, e provavelmente eliminaria 99% do tráfego do bot ssh. Por que se expor a todos os ataques de força bruta quando você pode se esconder tão facilmente? ; -)

Eu também geralmente recomendo configurar o sshd para usar somente autenticação baseada em pares de chaves SSH, se ele for exposto à Internet como um todo. Contanto que você mantenha sua chave privada segura, é quase impossível para os criminosos se autenticarem como você no servidor.

Como outro comentarista já apontou, isso não protege você contra exploits de 0 dias no próprio sshd. É sempre uma boa ideia limitar o tráfego apenas às máquinas que precisam se conectar por meio de regras de firewall.

    
por 28.08.2010 / 02:31

Tags