La prima volta che apre un server SSH a Internet, cosa controlla

Ho eseguito alcuni server per un tempo relativamente lungo, ma ho sempre affittato solo loro, quindi non ho molta esperienza nel garantire il server effettivo (a differenza dell'applicazione in cui sono in esecuzione).

Ora mi sento come aprire il mio piccolo server home SSH a Internet.

Sarò l'unico a usarlo, le mie password sono abbastanza complicate, ho cambiato la port SSH predefinita a qualcosa di circa 4000, l'unica port accessibile è questa port SSH tramite port-inoltro sul router / firewall e viene aggiornata automaticamente each sera (gestisce Arch Linux, una distribuzione di rilascio rolling).

Quali sono le altre cose che dovrei fare per mantenerlo sicuro?

Grazie!

6 Solutions collect form web for “La prima volta che apre un server SSH a Internet, cosa controlla”

Assicurarsi che i login di root siano disabilitati PermitRootLogin no . Vorrei anche considerare la disabilitazione delle password totalmente PasswordAuthentication no e utilizzare le chiavi pubbliche PubkeyAuthentication yes .

Assicurarsi che solo SSH-2 sia consentito (poiché SSH-1 ha sollevato alcune preoccupazioni di sicurezza in passato):

 Protocol 2 

Specificare quali sono gli unici utenti che possono accedere tramite SSH:

 AllowUsers bob, john 

Per aumentare la protezione, disabilitare l'authentication della password e utilizzare l'authentication a chiave pubblica:

 PasswordAuthentication no PubkeyAuthentication yes 

Nota: questo tutorial contiene istruzioni per la creazione di chiavi e la configuration dell'authentication a chiave pubblica.

Oltre ai punti relativi alla disabilitazione del login di root o all'uso dell'authentication di chiave pubblica, verificherò anche che non ci sono account utente sul sistema che dispongono di password banali o vuote. Hai detto che le tue password personali sono soddisfacenti, ma questo non esclude che un account con una password scadente sia stato creato per qualche altra ragione.

Ad esempio: ho dovuto fissare una networking in cui l'amministratore precedente aveva installato nagios su tutti i suoi sisthemes dalla sorgente e creò un utente nagios con nessuna password o la password "nagios" e poi procedette per get tre diverse macchine compromise.

Potresti voler guardare un tipo di strumento di liste nera IP come http://denyhosts.sourceforge.net/ . Blocca tutti gli IP che tentano di eseguire l'accesso senza troppe preoccupazioni e sono altamente configurabili.

Suggerisco di installare Fail2ban! http://www.fail2ban.org

Essa vieta un IP dopo x tentativi non riusciti per y minuti, aiutando a mantenere gli scriptkiddies in controllo;)

Recupera le registrazioni dei registri nelle parti / componenti pertinenti dei tuoi sisthemes (a seconda della sua configuration attuale o specifica) …

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.