Ainda vale a pena para o firewall / filtro de acesso ssh, exceto de IPs específicos?

7

Há alguns anos, havia várias explorações remotas para o OpenSSH que levaram muitos administradores, inclusive eu mesmo, a começar a filtrar a porta 22 no perímetro da rede, permitindo que apenas os endereços IP da equipe usassem o SSH. Era uma prática comum.

Faz sentido então, mas faz sentido agora?

Estou falando sobre a segurança e a capacidade de exploração do daemon ssh em si, não estou preocupado com bots tentando logar por senha de força bruta. Na minha loja, o ssh já está trancado; logins root estão desabilitados, somente a chave pública é usada.

Basicamente, estou perguntando se existem crianças que estão sentadas no dia zero do OpenSSH por 9 anos. Um cara com quem trabalho assume isso e sua lógica é "porque é um servidor". Eu acho sua crença questionável.

    
por BDP 26.05.2011 / 00:10

2 respostas

8

Eu diria que ainda vale a pena evitar uma grande superfície de ataque na forma do seu servidor SSH.

Algumas coisas que faço (variando entre máquinas diferentes) são:

  • limitação da taxa de conexão no nível de iptable
  • executar o SSH em uma porta diferente
  • fail2ban
  • opie
  • sem logons de raiz
  • apenas chaves ssh

Rodar ssh em uma porta diferente evita muitos dos bots e scans, mas é um pouco mais trabalhoso ao conectar (mas uma entrada em ~ / .ssh / config ajuda). Não vai parar um hacker determinado, apenas bots etc

Algo como fail2ban + iptables, ou a limitação da taxa de conexão do iptables vale a pena. É muito simples de configurar, mas vai abrandar rapidamente qualquer tentativa repetidamente, e não deve afetá-lo.

Nenhuma chave de root / OPIE / ssh só deve ajudar na maioria dos dias, mas não em todos os dias, e também ajudará em muitas outras situações. Pode tornar a configuração de uma nova máquina / novo administrador um pouco mais longa, mas o que ela oferece deve valer a pena.

    
por 26.05.2011 / 01:02
1

Embora possa não haver muitos kiddies com esse tipo de exploits acontecendo - existem caixas DEFINATELY zombie com scripts que fazem isso por elas.

Dito isto - ainda existem hacks desagradáveis que podem acontecer devido a endereços IP isolados - sua segurança é tão strong quanto a segurança da máquina / ip remoto.

Veja as tecnologias de encapsulamento / VPN no mínimo. Também jogue fora senhas (autenticadores e afins) se você está realmente preocupado com segurança.

    
por 26.05.2011 / 00:39