Как обезопасить SSH? Может его выключить, и настроить VPN?

0

2

Чтобы управлять сервером заходя на него по VPN.

Ссылка

←	brctl showmacs

dnsmasq альтернативный dns сервер

→

fail2ban хватит за глаза + аутентификация по ключам.

Зачем f2b, если по ключам? А просто так.

roman77 ★★★★★
(21.10.16 18:58:44 MSK)

Отключи root логин.

~~Deathstalker~~ ★★★★★
(21.10.16 18:59:46 MSK)

Ответ на: комментарий от Deathstalker 21.10.16 18:59:46 MSK

А лучше сервер отключить. Так надежнее же))))

~~alexnorton~~ ★
(21.10.16 19:00:21 MSK)

А чем ты управлять сервером собираешься?

autonomous ★★★★★
(21.10.16 19:00:36 MSK)

Ответ на: комментарий от autonomous 21.10.16 19:00:36 MSK

Лентяйкой. ))))

dopedopedope ★
(21.10.16 19:01:44 MSK) автор топика

Ссылка

Ответ на: комментарий от alexnorton 21.10.16 19:00:21 MSK

Очевидно, что существует мало причин разрешения захода root через SSH. Отключить же такой доступ довольно просто и это позволит усилить безопасность.

~~Deathstalker~~ ★★★★★
(21.10.16 19:02:36 MSK)

Ссылка

ssh достаточно безопасен. Настрой авторизацию по ключам, или в качестве пароля длинную криптостойкую пассфразу используй, отключи ssh1 (уже отключен и выкинут совсем, но вдруг у тебя что то древнее очень), повесь демона на нестандартный порт, запрети логин для root. Этого достаточно обычно.

vpn (openvpn) не столь универсален и примерно так же надёжен.

Jameson ★★★★★
(21.10.16 19:02:48 MSK)

Ответ на: комментарий от roman77 21.10.16 18:58:44 MSK

fail2ban + ключи с паролем + отключение доступа по паролю + отключение логина рутом + не стандартный порт для ssh + слушать только свой ip + шапочка из фольги

Вот тогда SecuritySHell будет по настоящему Security

autonomous ★★★★★
(21.10.16 19:04:33 MSK)
Последнее исправление: autonomous 21.10.16 19:04:57 MSK (всего исправлений: 1)

Ссылка

Спасибо за оветы! :)

dopedopedope ★
(21.10.16 19:26:45 MSK) автор топика

Ссылка

Собственно, так и делаю. Но иногда испытываю неудобства, т.к. не всегда под рукой есть клиентский конфиг. Вот сижу сейчас в метро через публичный wifi без vpn, как дурак.

Deleted
(21.10.16 20:26:17 MSK)

Кто тут советует рута по ссх отключать? Он же итак по дефолту запрещен.

~~unt1tled~~ ★★★★
(21.10.16 22:33:01 MSK)

Ответ на: комментарий от unt1tled 21.10.16 22:33:01 MSK

Дефолты от дистрибутива зависят. В debian stable/testing кажется запрещён, а вот в oldstable помнится был ещё разрешён (или в oldoldstable). В CentOS (том который был самым свежим пару лет назад) кажется тоже был разрешён, но не поручусь.

MrClon ★★★★★
(21.10.16 22:49:01 MSK)

Ссылка

Ответ на: комментарий от Deleted 21.10.16 20:26:17 MSK

А нафига?

MrClon ★★★★★
(21.10.16 22:49:19 MSK)

Настрой порт кнокинг, ну и то, о чем уже писали выше

Balantay ★
(21.10.16 22:58:18 MSK)

Ссылка

Ответ на: комментарий от MrClon 21.10.16 22:49:19 MSK

Ну получается, никто не может попасть, могут хоть усраться. Надёжненько. Хотя на самом деле пароль такой, что суперкомпьютер наверн крякал бы его час. А всякие ботнеты потратят на это вечность. Сижу с рута. На серве просто нихрена кроме jabber и owncloud нет.

Deleted
(21.10.16 23:42:05 MSK)

Ответ на: комментарий от Deleted 21.10.16 23:42:05 MSK

А твой сервер очень интересен владельцам суперкомпьютеров?

MrClon ★★★★★
(22.10.16 00:19:20 MSK)

Ответ на: комментарий от Jameson 21.10.16 19:02:48 MSK

ssh достаточно безопасен

Решето, в котором каждый месяц находят новую дырку, достаточно безопасно?

~~h578b1bde~~ ★☆
(22.10.16 00:29:21 MSK)

Ссылка

Оставить доступ к SSH только через VPN.

ArcFi ★
(22.10.16 04:55:05 MSK)

Ссылка

Ответ на: комментарий от MrClon 22.10.16 00:19:20 MSK

Нет, но вот ботнеты и всякие умники задалбывают. Это не компьютер, это виртуалка на достаточно известном хостинге, поэтому атака идёт с первых секунд создания. Похоже, атакуют чуть ли не весь диапазон их адресов.

Deleted
(22.10.16 10:21:33 MSK)