Estou configurando um servidor Linode e o Guia de primeiros passos sugere a desativação do ssh acesso através de IPv4 ou IPv6, para que eu tenha apenas um dos dois habilitados.
Eu entendo a teoria geral de reduzir a superfície de ataque, mas por que eu escolheria uma sobre a outra? Como eu sei qual eu preciso?
Listen on only one internet protocol. The SSH daemon listens for incoming connections over both IPv4 and IPv6 by default. Unless you need to SSH into your Linode using both protocols, disable whichever you do not need. This does not disable the protocol system-wide, it is only for the SSH daemon.
Pode haver vários motivos para desativar um ou outro. Minha casa e meu escritório têm endereços IPv6 estáveis, mas sempre mudam os endereços IPv4. Portanto, o firewall do IPv6 é muito mais fácil e seguro e, portanto, eu fecho o IPv4.
Quando eu preciso fazer manutenção, eu ou ssh de uma rede conhecida ou eu abro uma VPN e obtenho endereços IPv6 que são permitidos através do firewall.
Tudo depende do seu ambiente, mas isso é o que funciona para mim:)
Como você deve saber, há muitos bots automatizados tentando invadir sistemas na Internet. Algumas delas tentam se conectar a todos os sistemas na Internet via ssh e tentam senhas comuns.
Todos que já colocaram um sistema na rede viram seus registros se encherem de mensagens sobre interrupções de tentativas. Mas eles estão todos no IPv4! Não há nenhum no IPv6. Os bots tentam se conectar a todos os endereços IPv4 existentes, mas isso é impossível com o IPv6, pois há muitos deles.
Geralmente deixo os dois protocolos ativados, mas quando desabilito um, é o IPv4.
Existem maneiras muito mais eficientes de proteger seu servidor ssh. O que eu considero as duas etapas mais importantes para proteger o ssh são:
Com esses dois em vigor, há muito pouca segurança a ser obtida ao desativar o IPv4 ou o IPv6.
Existem argumentos a favor de ter o ssh configurado para escutar tanto no IPv4 quanto no IPv6, mesmo que você não use os dois.
Se um dos protocolos estiver inacessível devido a uma configuração incorreta em seu servidor ou em um dos roteadores do provedor, será útil fazer login usando o outro protocolo. Em tais situações, ter o IPv4 e o IPv6 habilitados tornará os problemas muito mais fáceis de depurar.