几年前,OpenSSH有几次远程攻击,导致包括我在内的许多pipe理员开始过滤networking边界的端口22,只允许员工的IP地址使用SSH。 这是一个普遍的做法。
这是有道理的,但现在有道理吗?
我正在谈论ssh守护进程本身的安全性和可利用性,我并不担心机器人试图暴力破解密码login。 在我的店里,ssh已经被locking了; 根login被禁用,只使用公共密钥authentication。
基本上我问是否有那些已经坐在OpenSSH零时差9年的小子? 我一起工作的一个人是这么认为的,他的逻辑是“因为它是一个服务器”。 我觉得他的信念值得怀疑。
我认为这仍然值得避免以SSH服务器的forms出现大型攻击面。
我做的一些事情(在不同的机器之间变化)是:
在不同的端口上运行ssh可以避免很多机器人和扫描,但是在连接时(但〜/ .ssh / config中的一个条目有帮助)可以做更多的工作。 它不会阻止一个坚定的黑客,只是机器人等
像fail2ban + iptables,或iptables连接速率限制是可能值得做的事情。 设置起来相当简单,但是会很快减慢任何反复尝试的人,而且不会影响到你。
没有根login/ OPIE / ssh键只能帮助大部分,但不是全部零天,并将帮助许多其他情况。 它可以使新机器/新pipe理员的设置稍微长一点,但它提供的值得。
虽然可能不会有(很多)小子在那里发生这种types的漏洞 – 但有一些僵尸盒子是为他们做的。
话虽如此 – 仍然有可能因为IP地址被盗用而发生恶意攻击 – 您的安全性与远程机器/ IP的安全性一样强大。
仔细研究隧道/ VPN技术。 如果你真的关心安全性,也扔掉密码(authenticators之类的)。