SSHで保護されたホームサーバーを実行するのはどのくらい危険ですか?
ホームネットワーク上の何かをもっと大きなインターネットに開放する必要がある場合、SSHトンネルはそれを行うのに十分安全な方法です。?
本日の質疑応答セッションは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの下位区分であるSuperUserの好意により提供されます。.
質問
スーパーユーザーの読者であるAlfred M.は、彼が接続セキュリティに関して正しい方向に進んでいるかどうかを知りたがっています。
私は個人的なgitリポジトリとしてそれを使うことを目的としてdebianを実行しているローエンドのコンピュータで小さなサーバーを最近セットアップしました。私はsshを有効にしました、そしてそれがブルートフォース攻撃などに苦しんだ即応性にかなり驚きました。それから私はこれが非常に一般的であることを読み、これらの攻撃を回避するための基本的なセキュリティ対策について学びました(サーバーフォールトに関する多くの質問と重複はそれを扱います。.
しかし今、私はこれがすべて努力の価値があるかどうか疑問に思います。私はgitbucket.orgやbettercodes.orgなどで提供されているようなサードパーティのソリューションに頼ることができましたが、インターネットセキュリティについては学んでいませんでした。専門家になり、私が正しい予防策を講じたことをほぼ確実にするためにそれに捧げるのに十分な時間.
私がこのおもちゃのプロジェクトで遊び続けるかどうかを決めるために、私がそうすることで本当に危険なことを知りたいです。たとえば、自分のネットワークに接続されている他のコンピュータもどの程度の脅威にさらされていますか。これらのコンピュータの中には、Windowsを実行している私のものよりもさらに知識の少ない人々が使用するものがあります。.
強力なパスワード、sshのrootアクセスの無効化、sshの非標準ポートの無効化、パスワードログインの無効化、fail2ban、denyhosts、またはiptablesのルールの使用などの基本的なガイドラインに従うと、実際に問題が発生する可能性があります。?
別の言い方をすれば、私が恐れるべきいくつかの大きな悪いオオカミがあるのか、それともほとんどがスクリプトキディを追い払うのかということです。?
Alfredはサードパーティのソリューションに固執するべきですか、それとも彼のDIYソリューションは安全ですか??
答え
SuperUserの寄稿者TheFiddlerWinsは、Alfredが非常に安全だと安心しています。
IMO SSHは、オープンインターネットで最も安全な方法の1つです。あなたが本当に心配なら、それは非標準のハイエンドポートでlistenしてもらってください。私はまだあなたのボックスと実際のインターネットの間に(デバイスレベルの)ファイアウォールを持っていて、SSHにはポート転送を使うだけですが、それは他のサービスに対する予防策です。 SSH自体はかなり堅実です.
私 持ってる 時々私の自宅のSSHサーバーにアクセスしている人がいました(Time Warner Cableに公開)。実際の影響はありませんでした.
もう一人の寄稿者、Stephaneは、SSHをさらに安全にするのがいかに簡単かを強調している。
SSHで公開鍵認証システムを設定するのは本当に簡単で、設定には5分ほどかかります。.
すべてのSSH接続でそれを使用するように強制すると、セキュリティインフラストラクチャにLOTを投資しなくても、システムの回復力が向上します。率直に言って、(あなたが200のアカウントを持っていない限り - それは厄介になる限り)それはそれを使用しないことは公衆の犯罪であるべきであるのでとても簡単で効果的です.
最後に、Craig Watsonが侵入の試みを最小限に抑えるための別のヒントを提供します。
私はSSHで世界に開かれたパーソナルgitサーバーも運営しています、そして私もあなたと同じブルートフォースの問題を抱えているので、私はあなたの状況に同情することができます.
TheFiddlerWinsはすでに公的にアクセス可能なIP上でSSHを開くことの主なセキュリティ上の影響に対処していますが、ブルートフォースの試みに対応する最良のツールIMOはFail2Banです。機械のローカル
iptablesファイアウォール禁止前の試行回数と禁止期間の両方を設定できます(デフォルトは10日です)。.
説明に追加するものがありますか?コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか?こちらのディスカッションスレッドをチェックしてください。.
