Domovská » jak » Jak je riskantní spuštění domácího serveru zajištěného za SSH?

    Jak je riskantní spuštění domácího serveru zajištěného za SSH?

    Když potřebujete něco otevřít v domácí síti na větším internetu, je tunel SSH dostatečně bezpečný způsob, jak to udělat?

    Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

    Otázka

    Snímač SuperUser Alfred M. chce vědět, jestli je na správné cestě s bezpečností spojení:

    Nedávno jsem nastavil malý server s nízkopodlažním počítačem se systémem debian s cílem jeho použití jako osobní úložiště git. Zapnul jsem ssh a byl docela překvapen rychlostí, kterou trpěl útoky hrubou silou a podobně. Pak jsem si přečetl, že je to docela běžné a dozvěděli se o základních bezpečnostních opatřeních, která by odvrátila tyto útoky (spousta otázek a duplikátů na serveru serverfault se s ním zabývá, viz například tento nebo tenhle).

    Ale teď se zajímám, jestli to všechno stojí za to. Rozhodl jsem se založit vlastní server hlavně pro zábavu: mohl bych se spoléhat pouze na řešení třetích stran, jako jsou ty, které nabízí gitbucket.org, bettercodes.org atd. Zatímco část zábavy je o učení o bezpečnosti internetu, nemám dostatek času věnovat se tomu, aby se stal odborníkem a být téměř jistý, že jsem přijal správná preventivní opatření.

    Abych se rozhodl, jestli budu pokračovat v hře s tímto hračkářským projektem, chtěl bych vědět, co skutečně riskuji při tom. Například v jakém rozsahu jsou ostatní počítače připojené k mé síti také ohroženy? Některé z těchto počítačů jsou využívány lidmi s ještě menšími znalostmi než moji běžící Windows.

    Jaká je pravděpodobnost, že se dostanu do skutečných potíží, pokud se budem řídit základními pokyny, jako je silné heslo, zakázaný kořenový přístup pro ssh, nestandardní port pro ssh a případné zakázání přihlašování hesla a použití jednoho z pravidel fail2ban, denyhosts nebo iptables?

    Jděte jiným způsobem, je tam nějaký velký zlý vlk, kterého bych se měl bát, nebo je to všechno většinou o tom, že jsem šoustával skriptové děti?

    Mal by Alfred držet řešení třetích stran, nebo je jeho řešení DIY zabezpečeno?

    Odpověď

    Příspěvek SuperUser TheFiddlerWins ujišťuje Alfreda, že je to naprosto bezpečné:

    IMO SSH je jednou z nejbezpečnějších věcí, které můžete naslouchat na otevřeném internetu. Pokud jste opravdu znepokojení, poslouchejte na nestandardním portu s vysokým rozlišením. Stále bych měl (firewall na úrovni zařízení) mezi vaším boxem a skutečným internetem a právě používám přesměrování portů pro SSH, ale to je opatrnost vůči jiným službám. Samotný SSH je docela zatraceně pevný.

    mít kdy lidé někdy narazili na svůj domovský server SSH (otevřený Time Warner Cable). Nikdy neměl skutečný dopad.

    Další přispěvatel, Stephane, zdůrazňuje, jak snadné je další zabezpečení SSH:

    Nastavení autentizačního systému s veřejným klíčem pomocí SSH je opravdu triviální a nastavení trvá asi 5 minut.

    Pokud vynucujete veškeré připojení SSH, bude to váš systém téměř stejně odolný, jak můžete doufat, aniž byste investovali LOT do bezpečnostní infrastruktury. Upřímně řečeno, je to tak jednoduché a efektivní (pokud nemáte 200 účtů - pak je to špinavé), že nepoužívání by mělo být veřejným trestným činem.

    Nakonec Craig Watson nabízí další tip, jak minimalizovat pokusy o narušení:

    Také provozuji osobní server GIT, který je otevřen světu na SSH, a já mám stejné problémy jako ty, takže můžu soucit s tvou situací.

    TheFiddlerWins se již zabývá hlavními důsledky zabezpečení, že SSH je otevřený na veřejně přístupné IP adrese, ale nejlepším nástrojem IMO jako odpovědí na pokusy o hrubou sílu je Fail2Ban - software, který sleduje vaše soubory protokolu autentizace, detekuje pokusy o narušení a přidává pravidla brány firewall místního strojeiptables firewall. Můžete nastavit jak počet pokusů před zákazem, tak i délku zákazu (můj výchozí je 10 dní).


    Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.