ws_*_*421 7 ssh security backup rsync
我一直在关注关于将 Ubuntu 机器设置为备份“服务器”(我将其称为服务器,但它只是运行 Ubuntu 桌面)的各种其他教程和博客文章,我使用 rsync 推送新文件。现在,我可以使用 rsync 和 ssh 使用我创建的 RSA 密钥从我的笔记本电脑连接到服务器,并且当我的笔记本电脑连接到服务器也连接到的家用路由器时,没有密码提示。当我不在家时,我希望能够从我的笔记本电脑发送文件。我看过的一些教程有一些关于安全性的简短建议,但他们没有关注它们。
我需要做什么才能让我的笔记本电脑将文件发送到服务器,而不会让其他人很容易侵入服务器?
这是我到目前为止所做的:
运行 ssh-keygen 和 ssh-copy-id 为我的笔记本电脑和服务器创建一个密钥对。
在服务器上创建了一个脚本,将其公共 IP 地址写入文件,加密文件,然后上传到我有权访问的 ftp 服务器(我知道我可以为此部分注册一个免费的动态 DNS 帐户,但是由于我拥有 ftp 帐户,并不需要让 ip 可公开访问,我认为这可能会更好)。
以下是我看到的建议:
端口转发:我知道我需要在路由器上为服务器分配一个固定的 IP 地址,然后告诉路由器将一个或多个端口转发给它。我应该只使用端口 22 还是选择一个随机端口并使用它?
打开防火墙 (ufw)。这会做任何事情,还是我的路由器是否已经阻止了除我想要的端口之外的所有内容?
运行fail2ban。
所有这些都值得做吗?我还需要做些什么吗?我是否可以将服务器设置为仅允许使用 RSA 密钥(而不是密码)进行连接,或者 fail2ban 是否会提供足够的保护来防止恶意连接尝试?是否可以限制服务器允许的连接类型(例如仅 ssh)?
我希望这不是太多问题。我对 Ubuntu 很陌生(但在 OSX 上使用 shell 和 bash 脚本)。我不需要绝对最安全的设置。我想要一些相当安全的东西,而不会那么复杂,以至于它很容易以一种我难以修复的方式破坏。
好吧,我认为你试图过度架构。SSH 是最安全的文件传输协议之一,如果您已经通过 ssh 进行 rsync,那么您的 90% 就在那里。您的路由器充当基本防火墙,因此您不需要为个人备份服务器打开 iptables。
坚持使用端口 22。它会让生活更轻松。
fail2ban 是一个很好的公共服务器脚本,特别是在启用基于密码的登录的情况下。在您的服务器上,它会产生更多问题,然后它会修复。我不建议运行它。以下是我的建议:
PasswordAuthentication yes为PasswordAuthentication no,并确保challengeresponse设置为 no。这将阻止任何没有您的私钥的人登录。除此之外,默认情况下您几乎涵盖了所有内容。ssh 加密流量并验证主机/客户端。之后剩下的不多了。
| 归档时间: |
|
| 查看次数: |
1461 次 |
| 最近记录: |