Eu recomendaria a perda da restrição de IP e exigiria autenticação baseada em chave e baseada em senha para o login. Acho que isso melhoraria a segurança no final e você não terá que se preocupar com IPs dinâmicos.
Eu quero proteger o acesso SSH ao nosso servidor web ao vivo de todos os IPs, exceto o IP estático do nosso escritório.
Existem alguns funcionários que se conectam a esse servidor ao vivo a partir de seus IPs dinâmicos. Então, nem sempre é possível eu mudar na regra do iptables no servidor live sempre que o IP dinâmico do funcionário mudar.
Eu tentei colocá-los no escritório VPN e permiti apenas o acesso SSH do IP do escritório, mas o escritório conexão é lenta em comparação com a conexão de internet privada de nossos funcionários, além disso adiciona uma sobrecarga extra à nossa rede de escritório.
Existe alguma maneira de resolver este problema?
Quantos funcionários com IPs dinâmicos? Se um pequeno número, você poderia apenas pagar por eles para ter IPs estáticos e manter sua política de segurança intacta e configuração simples. Tenho certeza que você já considerou isso.
Se você estiver disposto a afrouxar algumas políticas, você poderia, em teoria, descobrir as sub-redes ISP da sua equipe e limitar o acesso a elas, o que pode reduzir significativamente a exposição, embora eu ache que seria uma abordagem incomum.
Se você é sério sobre como proteger o SSH, você deve estar olhando para logins chave apenas , com alguns requisitos que as chaves são protegidas por senha, e possivelmente até mesmo expirando-los em uma base programada.
Não conceda acesso root aos seus usuários de SSH. Use sudo para dar acesso aos comandos do tipo raiz. Use logwatch ou similar para ficar de olho no que está acontecendo.
Além disso, este é um servidor web - sua configuração padrão de SSH é provavelmente muito mais segura do que outros aspectos do sistema que você está deliberadamente expondo à internet, mesmo que um comprometimento seja mais sério. Não se esqueça de proteger o resto do servidor e o código que você executa nele.
Um guia excelente para proteger um servidor Linux pode ser encontrado aqui . Os detalhes são o CentOS / RedHat, mas ele passa por várias opções comuns a todas as distros.
Além das outras sugestões, você também pode considerar executar o sshd em um número de porta não padrão. Isso não retardará um ataque direcionado por muito tempo, mas contornará alguns dos ataques automatizados de força bruta que varrem a Internet em busca de hosts que executam o sshd na porta 22.
Firewall do ConfigServer pode ser configurado para colocar os IPs dinâmicos na lista de permissões automaticamente. Você precisará configurar um nome de domínio dinâmico para cada cliente para que isso funcione - alguns sites IP dinâmicos fornecerão um executável do lado do cliente que mantém o IP atualizado. Eu uso no-ip.com para este fim.
Alguns firewalls suportam o uso de entradas DNS, então serviços como o link podem ser usados para restringir o acesso .
Se você quer apenas usar o iptables, você provavelmente poderia ter algo com script para verificar os nomes DNS (eu não acho que o iptables suporta o uso de entradas DNS para conceder acesso.)
Mas Kyle tem uma boa resposta ao exigir autenticação baseada em chave. Não sei como exigir chaves e senhas, então meu método seria exigir que as chaves acessem o servidor.
Tags ssh iptables linux-networking