Apakah pengaturan kata sandi yang sangat kuat cukup untuk mengamankan SSH pada port 22?

8

Menganggap bahwa tidak ada yang dapat mencuri kata sandi yang sebenarnya dari saya sendiri, apakah praktisnya 99,9% mustahil untuk menggunakan SSH untuk masuk ke server saya yang menjalankan SSH pada port standar menggunakan sangat kuat (24 simbol berisi huruf besar, angka kecil, tanda kurung, garis bawah, dolar, periode, dll. dan tanpa kata-kata bahasa manusia) kata sandi?

security ssh Ivan
sumber
2
Saya tidak akan memposting ini sebagai jawaban karena banyak orang tampaknya tidak setuju dengan saya untuk beberapa alasan, tetapi mengubah port menjadi sesuatu yang tidak standar juga akan membantu mengurangi permukaan serangan. Jelas Anda harus menggunakan kata sandi yang kuat dan memperbarui server untuk memberikan keamanan nyata, tetapi ini akan membantu menghindari pemindaian umum untuk port terbuka.
Paul Kroon

Jawaban:

3

Meskipun jarang, masih ada eksploitasi 0 hari ... jadi Anda tidak pernah tahu. mungkin Anda dapat membatasi akses ke port 22 [pada level firewall] hanya untuk beberapa host / jaringan?

atau mungkin Anda bisa menggunakan cara keamanan-meskipun-tidak jelas dan menerapkan ketukan port ?

pQd
sumber
1
Saya pikir mengetuk port adalah ide terbaik saat itu. Membatasi jaringan / host adalah scaffold, saya sangat mobile dan cenderung menggunakan jaringan wifi dan 3G yang berbeda.
Ivan
8

Ingatlah bahwa kata sandi ANDA mungkin sangat kuat sementara pengguna lain mungkin memiliki kata sandi yang benar-benar lemah. Masukkan AllowGroupsatau AllowUserske dalam /etc/ssh/sshd_configuntuk mematikan akses ssh untuk pengguna lain.

Juga ingat bahwa kata sandi Anda mungkin terlalu aman: Kata sandi ini hampir pasti akan ditulis.

Setelah mengatakan bahwa saya pikir Anda cukup aman; Jika Anda menggabungkan dengan port mengetuk atau lebih, Anda sangat aman.

Moritz Keduanya
sumber
1
+1 untuk AllowUsers ... pasti nilai tambah.
Paul Kroon
1
Dan untuk ukuran yang baik tambahkan fail2ban
tegbains
4

Itu semua tergantung pada seberapa cepat penyerang dapat menggunakan port tcp / 22 Anda untuk login. Jika Anda tidak menggunakan sesuatu untuk mengakhiri koneksi berulang seperti itu, pada waktunya kata sandi dapat ditemukan. Dalam hal ini, waktu akan menjadi waktu yang sangat lama. Bulan memalu terus menerus. Dalam log SSH saya telah berjalan-jalan melalui Saya telah melihat sedikit diarahkan memalu terhadap akun tertentu, dan banyak pintu mengetuk mencari password yang lemah.

Namun, Anda tidak dapat menganggap semua penyerang itu biasa saja. Seseorang yang menargetkan Anda secara khusus akan memiliki investasi untuk menunggu beberapa bulan untuk menerobos masuk. Karena alasan inilah kunci bersama lebih disukai jika memungkinkan. Kata sandi yang Anda uraikan kemungkinan besar berupa tiga-sembilan mustahil untuk diretas (dalam batasan waktu yang wajar). Saya tidak akan menahan napas selama lima sembilan.

sysadmin1138
sumber
1
"Itu semua tergantung pada seberapa cepat penyerang dapat menggunakan port tcp / 22 Anda untuk login. Jika Anda tidak menggunakan sesuatu untuk mengakhiri koneksi berulang seperti itu" - Bukankah sudah diatur di semua distro umum secara default saat ini?
Ivan
2
@Ivan Mengecewakan, tidak, tidak. apt-get install denyhosts(berbasis debian) pkg_add -r denyhosts(FreeBSD) adalah salah satu hal pertama yang harus dilakukan pada kotak baru.
Pete
2
Tidak selalu. Ubuntu tidak memilikinya secara default dan juga tidak openSUSE atau Fedora / Centos. Paket pra-dibangun ada untuk ketiganya, tetapi Anda harus mengambil tindakan positif untuk menyalakannya.
sysadmin1138
3

Gunakan denyhosts. Juga pertimbangkan untuk menggunakan login berbasis kunci daripada passwrod.

Pete
sumber
Ya, saya menggunakan kunci (dan dengan frasa sandi acak-simbolik yang baik, hanya ditulis dalam pikiran saya dan dengan tanggal kedaluwarsa yang masuk akal). Tetapi masih ada kata sandi untuk pengguna yang telah saya atur seperti yang saya jelaskan.
Ivan
1

Memindahkan sshd ke port non-standar mungkin sepele untuk ditambahkan ke konfigurasi Anda, dan mungkin akan menghilangkan 99% dari lalu lintas bot ssh. Mengapa membuka diri terhadap semua serangan brute force saat Anda bisa bersembunyi dengan mudah. ;-)

Saya juga biasanya merekomendasikan mengkonfigurasi sshd untuk hanya menggunakan otentikasi berbasis pasangan kunci SSH, jika akan diekspos ke Internet secara luas. Selama Anda menjaga kunci pribadi Anda aman, hampir tidak mungkin bagi orang jahat untuk mengotentikasi Anda dengan server.

Seperti komentator lain sudah tunjukkan, ini tidak melindungi Anda dari eksploitasi 0 hari di sshd itu sendiri. Itu selalu merupakan ide yang baik untuk membatasi lalu lintas hanya pada mesin yang perlu terhubung melalui aturan firewall.

Patrick Heckenlively
sumber