As chaves RSA são necessárias para configurações somente da LAN?

2

Eu tenho um SSH instalado no meu servidor Ubuntu. Eu posso fazer login no meu desktop Ubuntu, usando um usuário e uma senha. Eu só posso acessar o SSH da minha LAN, uma vez que a porta SSH não é encaminhada no meu roteador. Preciso configurar uma chave RSA para uma configuração como essa? Pelo que entendi, o SSH é seguro, pois não pode ser acessado pela Internet.

Em uma nota lateral, que outras coisas devo verificar novamente quanto à segurança? Eu tenho o Apache, MySQL e ProFTPD rodando.

    
por Cory Walker 09.05.2009 / 17:16

5 respostas

7

Se você tem certeza de que apenas usuários autorizados podem obter acesso à sua LAN, um nome de usuário e senha devem ser suficientes. Nada nunca vai ser completamente seguro, você precisa se perguntar, isso é bom o suficiente?

Se o seu servidor só é acessível através da sua LAN, e você não está preocupado com o acesso das pessoas a ele, por hacks WiFi ou acesso físico à rede, então a autenticação do nome de usuário / senha é provavelmente suficientemente boa.

    
por 09.05.2009 / 17:24
10

Como observação, é muito fácil configurar logins sem senha com SSH, então você pode querer tentar:

$ ssh-keygen -t rsa # if you don't already have your key pair
$ ssh-copy-id -i ~/.ssh/id_rsa.pub myuser@myserver

E então você não receberá uma senha toda vez que fizer login no servidor:)

    
por 09.05.2009 / 17:30
3

Configurar chaves com senhas. Em seguida, use keychain , a única vez que você terá que digitar senhas será após a reinicialização. Toda a segurança das senhas, toda a comodidade das chaves.

    
por 10.05.2009 / 05:49
2

Não me importo de digitar uma senha para o SSH. Para maior segurança, no entanto, eu recomendaria habilitar o ufw do Ubuntu Firewall, que está instalado, mas desabilitado no Jaunty por padrão. É fácil ativar e configurar:

sudo ufw enable

EDIT: Não faça isso primeiro se você estiver se conectando remotamente ou se trancará! É mais seguro ativar último quando tiver certeza de que todas as regras estão em vigor. Veja o comentário de Olaf abaixo.

Bloqueio padrão de tudo

sudo ufw default deny

Permitir TCP no prt 22 para SSH:

sudo ufw allow 22/tcp

Exclua esta regra (se necessário na estrada):

sudo ufw delete allow 22/tcp

Além da porta 22, você desejará permitir o tráfego para a porta 3306 para MySQL, 80 para o Apache e 20 & 21 por padrão para o ProFTPD.

Você também pode verificar suas regras com facilidade:

sudo ufw status

Por fim, você pode criar regras mais refinadas para hosts ou sub-redes específicos:

ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.1 port 22

Depois de configurar, desabilitar e reativar o ufw para aplicar.

    
por 09.05.2009 / 22:40
0

Você precisa usar chaves? Não. Mas certamente torna-se muito mais conveniente usá-los uma vez que você tenha mais de um servidor, ou se você tiver que fazer algum script de alguma tarefa que requeira acesso ssh.

    
por 10.05.2009 / 02:35