A configuração de uma senha muito forte é suficiente para proteger um SSH na porta 22?

8

Presumindo que ninguém possa me roubar a senha real, é praticamente 99,9% impossível usar o SSH para invadir meu servidor executando o SSH em uma porta padrão usando muito forte (24 símbolos contendo letras maiúsculas, minúsculas, parênteses, sublinhados, dólares, períodos, etc. e sem palavras em linguagem humana) senha?

security ssh Ivan
fonte
2
Eu não postaria isso como resposta, porque muitas pessoas parecem discordar de mim por algum motivo, mas alterar a porta para algo fora do padrão também ajudará a diminuir a superfície de ataque. Obviamente, você precisará usar a senha forte e manter o servidor atualizado para fornecer segurança real, mas isso ajudará a evitar as verificações comuns de portas abertas.
Paul Kroon

Respostas:

3

embora raro, ainda existem explorações de 0 dias ... para que você nunca saiba. talvez você possa limitar o acesso à porta 22 [no nível do firewall] apenas para alguns hosts / redes?

ou talvez você possa seguir o caminho da segurança embora obscuridade e implementar a batida na porta ?

pQd
fonte
1
Acho que bater na porta é a melhor ideia então. A limitação de redes / hosts é um suporte, sou muito móvel e tenho a tendência de usar redes Wi-Fi e 3G diferentes.
1027 Ivan Ivan
8

Lembre-se de que SUA senha pode ser muito forte, enquanto outros usuários podem ter senhas realmente fracas. Coloque AllowGroupsou AllowUsersem /etc/ssh/sshd_configpara desativar o acesso ssh para outros usuários.

Lembre-se também de que sua senha pode ser muito segura: essa senha quase certamente será anotada.

Dito isto, acho que você está bem seguro; se você combinar com a porta batendo ou estiver muito seguro.

Moritz Both
fonte
1
+1 para AllowUsers ... definitivamente uma vantagem.
Paul Kroon
1
E por uma boa fail2ban medida add
tegbains
4

Tudo depende da rapidez com que um invasor pode martelar sua porta tcp / 22 para logins. Se você não estiver usando algo para terminar essas conexões repetidas, com o tempo qualquer senha poderá ser descoberta. Nesse caso, o tempo será muito longo. Meses de martelamento constante. Nos logs do SSH, passei um pouco e vi poucas batalhas contra contas específicas e muitas batidas nas portas procurando senhas fracas.

No entanto, você não pode assumir que todos os atacantes são casuais. Alguém direcionado especificamente a você terá o investimento para esperar vários meses para entrar. É por razões como essa que a chave compartilhada é preferida sempre que possível. É muito provável que a senha que você descreve seja três e nove impossível de decifrar (com restrições de tempo razoáveis). Eu não prenderia a respiração por cinco e nove.

sysadmin1138
fonte
1
"Tudo depende da rapidez com que um invasor pode atacar sua porta TCP / 22 para logins. Se você não estiver usando algo para terminar essas conexões repetidas" - Não está configurado em todas as distros comuns por padrão hoje em dia?
1019 Ivan Ivan
2
@ Ivan Desapontador, não, não é. apt-get install denyhosts(baseado em debian) pkg_add -r denyhosts(FreeBSD) é uma das primeiras coisas a fazer em uma nova caixa.
Pete
2
Nem sempre. O Ubuntu não o possui por padrão e nem o openSUSE ou o Fedora / Centos. Existem pacotes pré-criados para todos os três, mas é necessário tomar uma ação positiva para ativá-lo.
sysadmin1138
3

Use denyhosts. Considere também usar o login baseado em chave em vez de uma senha.

Pete
fonte
Sim, eu uso uma chave (e com uma boa senha aleatória simbólica, escrita apenas em minha mente e com uma data de validade que faça sentido). Mas ainda há uma senha para o usuário que eu defini da maneira que descrevi.
1019 Ivan Ivan
1

Mover o sshd para uma porta não-padrão provavelmente seria trivial para adicionar à sua configuração e provavelmente eliminaria 99% do tráfego do ssh bot. Por que se expor a todos os ataques de força bruta quando você pode se esconder tão facilmente? ;-)

Eu também geralmente recomendo configurar o sshd para usar apenas autenticação baseada em par de chaves SSH, se for exposto à Internet em geral. Enquanto você mantiver sua chave privada segura, é quase impossível que os bandidos se autentiquem como você no servidor.

Como outro comentarista já apontou, isso não o protege contra explorações de 0 dia no próprio sshd. É sempre uma boa ideia limitar o tráfego apenas às máquinas que precisam se conectar via regras de firewall.

Patrick Heckenlively
fonte