我已经在windows 2003 DC上安装了cygwin(运行sshd)几次。
但现在另一个负责这个域名的pipe理员问我这是否真的很安全。
编辑::我改变了这个问题,使其更好地符合接受的答案。 我已经把原本想到的问题的其他部分移到了新线程中,请点击这里。
一般而言,您希望避免在服务器上安装多余的服务。 鉴于Active Directory域控制器计算机的敏感工作(存储用户凭据和执行身份validation),您应该比文件服务器更关心它们。
话虽如此,一台没有安装软件的服务器计算机将毫无用处。 您需要进行风险评估,对照软件提供的利益进行权衡,并在此基础上作出决定。 这个普通的过程就是你为每一项服务所需要的工作(即使这只是你“正在做的事”而不是正式的过程)。 在没有权衡风险的情况下(或者更糟糕的是,在没有任何好处的情况下公开它们 – 认为Windows 2000 Server中的默认IIS安装)是一个坏主意。
要说你的特定查询:
鉴于OpenSSH提供的服务的性质,OpenSSH受到社区的相当多的审查。 不幸的是,为了让sshd模拟用户,你将不得不使用一个相当特权的凭证来运行它(在大多数情况下是SYSTEM),所以守护进程本身的一个bug可能会导致远程系统级的危害。 不可否认,我认为在OpenSSH中这样一个妥协的可能性是相当低的,但它仍然是可能的。
您应该对入站连接尝试进行某种速率限制(以防止DOS攻击 – 我个人喜欢sshd_block )。 您应该认真考虑只允许基于证书的login(而不是密码)。 您应该限制可以通过SSH访问服务器的用户数量,只限于那些需要访问的用户。 如果您不需要这些function,您应该禁用端口转发和/或SFTP。
我的感受总结如下:想想你正在做的事情,做好你的“功课”设置,你会没事的。
我想不出任何可能出错的东西,但这并不意味着黑客也不行。