Eu tenho um servidor proxy Ubuntu 10.04 exposto à internet e tenho o Servidor SSH nele para gerenciá-lo a partir da LAN interna e remota. Parece inseguro, mesmo se eu estiver usando senhas strongs ... Pensei em desabilitar o ssh no lado da internet, mas depois perdia a funcionalidade. Existe alguma solução? Eu procuro uma lista muito curta de "must do" para melhorar a segurança.
Gostaria de adicionar apenas uma coisa a todas as respostas:
Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address.
Aqui está um gráfico rrd (quebrado) das proibições ativas no meu servidor:
Representadopormunincom
há mais 2 coisas que você pode fazer para melhorar a segurança do ssh:
mude para a chave pública apenas para ssh logins como detalhado aqui: Como você configura ssh para autenticar usando chaves em vez de um nome de usuário / senha?
então você pode restringir logins SSH para IPs específicos, conforme detalhado aqui: como restringir o login do ssh a um ip específico ou host
se esses métodos forem configurados corretamente, então, para entrar, alguém precisa se conectar a partir do seu endereço IP com seu arquivo de chave privada
Ative a autenticação baseada em chave e desative a autenticação desafio / resposta / senha. Isso fará com que seja tão seguro quanto necessário.
Além disso, eu garanto que suas regras iptables só permitirão o acesso SSH de seu próprio endereço IP / intervalo (se isso for possível).
Além de senhas strongs, uma coisa adicional que você pode fazer é restringir as contas que podem fazer login.
no sshd_config:
AllowUsers myaccount
Além disso, defina PermitRootLogin no.
Além das respostas acima, você pode fazer o seguinte para proteger ainda mais seu acesso ssh:
Alterar a porta SSH padrão
Normalmente, os bots estão tentando acessar a porta padrão 22 / tcp e tentam fazer o login com nomes de usuários diferentes (root, admin, etc). Geralmente, esses ataques não causam problemas se você estiver usando senhas strongs ou chaves melhores e não permitir logins de raiz.
O mais irritante é que as tentativas de login mal-sucedidas estão enviando spam para seus registros de segurança e, se acontecer alguma coisa, será difícil encontrar a entrada correta.
Ativar batida de portas
Port Knocking é uma boa ideia. A porta ssh padrão é fechada até que você bata em uma ou várias portas na ordem correta. A porta ssh é então aberta automaticamente e você pode efetuar o login.
Como de costume alguém já implementou ;-) Aqui a documentação: link
Desabilitar a autenticação de senha e exigir que a chave pública seja compatível com você?
Você também pode desativar o ssh completamente, se tiver alguma solução de gerenciamento de HW remota, como o console remoto (IBM RSA ou HP ILO). Se você tiver LANs de gerenciamento e produção fisicamente separadas, não será possível invadir o servidor fazendo logon nele.