Exibir conexões SSH abertas por usuário / máquina, juntamente com os servidores aos quais estão conectados
Quando o tráfego de rede sai do sistema, a menos que você esteja fisicamente conectado a outro sistema por meio de um cabo cruzado, ele atravessa pelo menos um sistema intermediário. O software nesses sistemas intermediários pode registrar metadados sobre cada pacote, incluindo IP / porta de origem e IP / porta de destino. O software avançado pode até fazer coisas como amarrar fluxos TCP, saber qual protocolo está sendo usado e observar coisas como tempo, duração e bytes transferidos.
Para o SSH, seria difícil correlacionar o tráfego de rede ao usuário que o gera sem a ajuda do sistema envolvido, mas se houver algum programa no registro do sistema do usuário que inicie qual processo e os argumentos da linha de comando, obviamente isso pode ser deduzido .
Detecte o tráfego SSH. E se o administrador do sistema souber minhas chaves SSH?
O SSH é criptografado, o que significa que, embora as informações acima possam ser coletadas (o que acontece com qualquer coisa que atravessa a rede), o conteúdo ou a carga útil da transmissão será protegida.
É possível descriptografar isso se a chave SSH for conhecida.
Capsula segura
O SSH, por definição, é seguro, pois todo o tráfego é criptografado enquanto em trânsito em todas as redes. A escuta telefônica não é algo com que você deve se preocupar com o SSH.
O objetivo inteiro do SSH é criar uma conexão criptografada entre o cliente e o servidor para garantir que nenhuma das informações transmitidas entre eles possa ser vista em qualquer rede que não seja em sua forma criptografada.
Alterar a porta faria pouco para disfarçar o tráfego de qualquer maneira, mas não é necessário, como eu disse, o SSH é completamente criptografado. Isso seria apenas "Segurança através da obscuridade", na melhor das hipóteses, que não é segurança de qualquer forma, forma ou formato.
Chaves violadas
Se os administradores do sistema tiverem suas chaves SSH, a escuta telefônica não seria sua preocupação, pois eles poderiam se conectar diretamente ao servidor e muito menos descriptografar o tráfego enviado pela rede.
É improvável que eles tenham suas chaves, pois elas não podem ser detectadas quando enviadas, pois são criptografadas em trânsito.
Exibir conexões de rede
Os administradores de rede poderão identificar que sua conta de usuário e computador estão conectados a um endereço IP específico na porta 22, mas isso é tudo o que eles poderão ver. Eu não consideraria isso uma grande preocupação, desde que a segurança de seus servidores esteja configurada corretamente.
Em um servidor SSH voltado para a Internet, é provável que um ou dois administradores de rede sejam as pessoas menos prováveis de segmentar seu servidor; você provavelmente descobrirá que as pessoas já o estão constantemente atacando, isso é chamado de 'ruído de fundo da Internet'. Isso pode ser visto revisando seus logs de autenticação. Contanto que apenas a autenticação de chave esteja ativada, isso não é uma preocupação, mas eu pessoalmente também gosto de executar o fail2ban para filtrar essas conexões.
Preocupações de segurança do SSH
A maior preocupação ao usar o SSH é garantir que os invasores não possam acessar o próprio servidor SSH, normalmente através de ataques de força bruta, mas isso também pode ser feito através de ataques direcionados muito mais sofisticados.
A maneira mais simples e rápida de proteger um servidor SSH é habilitar a autenticação de autenticação de chave em vez da autenticação por senha.
Se possível, você deve remover o servidor SSH da Internet e permitir o acesso apenas internamente ou por meio de uma conexão VPN.
Existem muitas outras maneiras de proteger um servidor SSH, como segurança de dois fatores e bloqueio de pacotes.
Exemplo de Telnet
É por essas razões exatas que o telnet não está mais em uso em massa. Como ele não criptografa a conexão, tudo é enviado pela rede em texto sem formatação, incluindo a senha, o que significa que qualquer pessoa na rede que esteja farejando pacotes ou monitorando logs de conexão pode obter facilmente informações de nome de usuário e senha e qualquer outra coisa enviada por um telnet conexão.
Outras informações
Mais informações sobre SSH podem ser encontradas aqui ...
Página de manual para SSH
Site OpenSSH (um dos maiores servidores SSH)
fonte