Dado o recente ataque à porta SSH, estou tentando ao máximo manter meus servidores à distância. É claro que mudar a porta padrão seria a regra número 1, mas isso não é viável.
Temos o denyhosts para configurar algumas regras do iptables, talvez o fail2ban. Appart do que e considerando que o mínimo possível maneiras que você tem que entrar no saffer você é, meu SSHD configurou:
ssh -v example.com
debug1: Authentications that can continue: publickey,password,keyboard-interactive
Eu comecei a pensar, o que devo manter? teclado interativo (KI) ou senha?
Chave pública é necessária. Tanto o KI quanto a senha fazem o mesmo, mas o KI, de acordo com os documentos, faria melhor. Alguém pode lançar algumas luzes aqui, por favor?
Obrigado antecipadamente.
Se não for um sistema público / multiusuário, limite severamente o acesso por meio do firewall. Padrão para DROP e permitir apenas IPs específicos ou sub-redes de acesso ao sistema. Se você precisa ficar público, o fail2ban é a ideia certa.
msanford é spot quando se trata da recomendação de autenticação. Para a melhor segurança, você deseja o menor acesso possível para atender aos requisitos. Se o acesso não for justificado, não deve ser permitido.
Se todos que precisarem de acesso ssh ao seu servidor puderem usar uma chave pública, então sim, você pode com segurança e sem dúvida desativar os logins interativos com senha / teclado.
Tags ssh