Question Devrais-je durcir mon SSH si je n'autorise mon IP que dans iptables?


J'ai plusieurs serveurs Linux sans renforcer le SSH:

  1. Autoriser les connexions root

  2. Utilisez le même mot de passe pour tous les serveurs

  3. Utiliser le port ssh par défaut 22

Mais j’ai configuré iptables pour n’autoriser que mon adresse IP à SSH sur le serveur. Cela atténuera-t-il la pratique précaire susmentionnée?


4
2018-05-24 17:08


origine


La sécurité est une question de couches, donc ajouter plus de sécurité n'est pas vraiment une mauvaise chose dans ce cas. - gparent
Au fait, vous pouvez aussi utiliser hôtes_accès pour n'autoriser que votre adresse IP. Il suffit d'ajouter sshd: IP_addr à /etc/hosts.allow et sshd: ALL à /etc/hosts.deny. - Cristian Ciupitu
@CristianCiupitu Voir aussi serverfault.com/a/391453/3139 -> vous pouvez le faire directement dans le fichier sshd_config. - Jeff Ferland
Si vous ne vous connectez qu’à partir d’une seule adresse IP, pourquoi possédez-vous une authentification par mot de passe? Il suffit de passer à la clé uniquement et de vivre heureux pour toujours. La seule fois où vous avez vraiment besoin de connexions pwd, c’est quand vous devez pouvoir vous connecter à partir de nulle part et ne sais pas toujours à l'avance où ce "n'importe où" pourrait être. - TC1


Réponses:


  1. Autoriser les connexions root

  2. Utilisez le même mot de passe pour tous les serveurs

  3. Utiliser le port ssh par défaut 22

La modification de chacun des éléments ci-dessus constitue une stratégie d'atténuation des risques. Changer toutes ces choses ne vous rend pas en sécurité. Partir n'est pas dangereux par nature en soi. Cela augmente le risque, mais vous apprécierez peut-être plus la commodité que le risque.

Pour les échanges TCP complets tels que ceux requis avec SSH, le contrôle de la plage d'accès IP est raisonnablement efficace contre toute personne ne faisant pas partie de votre réseau (même branche de couche 2 ou contrôlant le routage en amont).

Vous courez le risque qu'un compromis de serveur puisse exposer le mot de passe pour tous, mais vous avez limité les possibilités d'utilisation du mot de passe.

... mais si la commodité en vaut la peine, vous vous en sentez bien et ne craignez pas de conserver les données importantes de quelqu'un d'autre, foncez. Sachez simplement pourquoi vous apporteriez ces changements et ce que vous abandonnez pour des raisons pratiques.


4
2018-05-24 17:18



Je les laisse par défaut pour plus de commodité puisqu'il existe un pare-feu pour le protéger. Comme Baumgart l'a dit, nous ne savons jamais ce qui pourrait arriver. Je vais commencer à ajouter des couches plus sécurisées. Merci. - garconcn


La réponse est toujours oui. Vous ne savez jamais ce qui pourrait arriver.


4
2018-05-24 17:13





Si c'était moi, je:

  • verrouillage ssh
  • configurer des identifiants de clé privée / publique pour un utilisateur normal afin d'automatiser la connexion
  • su - une fois que je me suis connecté

Parce que ça ne vaut pas l'inquiétude

(Cela a l'avantage supplémentaire de permettre l'accès depuis n'importe où vous avez du mastic et votre clé ssh)


3
2018-05-24 18:28





Les adresses IP peuvent être usurpées. Verrouillez votre SSH.


0
2018-05-24 17:11



Usurper une adresse IP pour SSH revient à placer le paquet de quelqu'un d'autre comme "adresse de livraison" sur Amazon.com. Généralement pas très utile. - ceejayoz
Vous êtes correct pour SSH et l'usurpation d'identité, j'étais plutôt lié à iptables et à l'usurpation d'adresse IP, ce qui est possible si configuré de manière incorrecte. - Joe