BDP*_*BDP 7 security firewall ssh
几年前,有几次针对 OpenSSH 的远程攻击,这促使包括我在内的许多管理员开始在网络外围过滤端口 22,只允许员工的 IP 地址使用 SSH。这是一种常见的做法。
当时说得通,但现在说得通吗?
我说的是 ssh 守护程序本身的安全性和可利用性,我并不担心机器人试图暴力破解密码登录。在我的店里,ssh 已经被锁定了;禁用 root 登录,仅使用公钥身份验证。
基本上我是在问是否有小孩在 OpenSSH 零日漏洞上使用了 9 年?一个和我一起工作的人假设是这样,他的逻辑是“因为它是一个服务器”。我觉得他的信仰值得怀疑。
我想说,以 SSH 服务器的形式避免大型攻击面仍然是值得的。
我做的一些事情(在不同的机器之间有所不同)是:
在不同的端口上运行 ssh 避免了很多机器人和扫描,但在连接时会做更多的工作(但 ~/.ssh/config 中的条目有帮助)。它不会阻止坚定的黑客,只会阻止机器人等
像fail2ban + iptables 或iptables 连接速率限制之类的东西可能值得做。设置非常简单,但会很快减慢任何反复尝试的人的速度,并且不会影响您。
没有 root 登录/OPIE/ssh 密钥只对大多数情况有帮助,但不是所有的零日,并且对许多其他情况也有帮助。它可以使新机器/新管理员的设置时间更长一些,但它提供的东西应该是值得的。
虽然可能没有(很多)小孩子在进行此类攻击,但肯定有僵尸盒子,其中包含可以为他们执行此操作的脚本。
话虽如此,由于 IP 地址存在针孔,仍然可能发生令人讨厌的黑客攻击,您的安全性仅与远程计算机/IP 的安全性一样强。
至少要研究一下隧道/VPN 技术。如果您真的担心安全性,也可以扔掉密码(身份验证器等)。