الصفحة الرئيسية » howto » كيف محفوفة بالمخاطر هل لتشغيل خادم الرئيسية المؤمن وراء وراء SSH؟

    كيف محفوفة بالمخاطر هل لتشغيل خادم الرئيسية المؤمن وراء وراء SSH؟

    عندما تحتاج إلى فتح شيء ما على شبكتك المنزلية إلى الإنترنت الأكبر ، يكون نفق SSH طريقة آمنة كافية للقيام بذلك?

    تأتي جلسة الأسئلة والأجوبة اليوم مقدمة من SuperUser-a subdivision of Stack Exchange ، وهي مجموعة مجتمعية مدفوعة من مواقع Q & A.

    السؤال

    يريد قارئ SuperUser Alfred M. معرفة ما إذا كان على المسار الصحيح مع أمان الاتصال:

    لقد قمت مؤخرًا بإعداد خادم صغير يحتوي على كمبيوتر منخفض يعمل بنظام debian بهدف استخدامه كمستودع git شخصي. لقد مكنت SSH وكان مندهشا للغاية في السرعة التي عانت من هجمات القوة الغاشمة وما شابه ذلك. ثم قرأت أن هذا أمر شائع ومتعلم عن التدابير الأمنية الأساسية لدرء هذه الهجمات (الكثير من الأسئلة والتكرارات على التعامل مع الخادم ، انظر على سبيل المثال هذا أو هذا).

    ولكن الآن أنا أتساءل عما إذا كان كل هذا يستحق الجهد. قررت إعداد الخادم الخاص بي في الأغلب من أجل المتعة: يمكنني الاعتماد على حلول الجهات الخارجية مثل تلك التي تقدمها gitbucket.org ، bettercodes.org ، وما إلى ذلك. في حين أن جزءًا من المتعة يتعلق بالتعلم عن أمان الإنترنت ، لم أتمكن من ما يكفي من الوقت لتكريسها لتصبح خبيرا وتكون على يقين من أنني اتخذت تدابير الوقاية الصحيحة.

    من أجل تحديد ما إذا كنت سأستمر في اللعب بمشروع اللعب هذا ، أود أن أعرف ما الذي أخاطر به فعلاً. على سبيل المثال ، إلى أي مدى تهدد أجهزة الكمبيوتر الأخرى المتصلة بشبكتي أيضًا؟ يتم استخدام بعض من هذه الكمبيوتر من قبل أشخاص ذوي معرفة أقل من معرفتي بتشغيل Windows.

    ما هو احتمال أن أكون في مشكلة حقيقية إذا اتبعت الإرشادات الأساسية مثل كلمة مرور قوية ، وصول الجذر معطلة ل ssh ، منفذ غير قياسي ل ssh وربما تعطيل تسجيل الدخول باستخدام كلمة مرور واحدة من قواعد fail2ban ، denyhosts أو iptables?

    بعبارة أخرى ، هل هناك بعض الذئاب السيئة الكبيرة التي يجب أن أخافها أم أنها في الغالب تتعلق بإبعاد الأطفال الصغار?

    هل يجب على Alfred الالتزام بحلول الطرف الثالث أم أنه حل DIY الخاص به آمنًا?

    الاجابة

    تطمئن TheFiddlerWins من SuperUser إلى أن Alfred آمن تمامًا:

    IMO SSH هو واحد من أكثر الأشياء أمانًا للاستماع على الإنترنت المفتوح. إذا كنت مهتمًا حقًا بالاستماع إلى منفذ غير قياسي عالي المستوى. ما زال لديّ جدار حماية (مستوى الجهاز) بين المربع الخاص بك وبين الإنترنت الفعلي ومجرد استخدام إعادة توجيه المنفذ لـ SSH لكن هذا إجراء احترازي ضد الخدمات الأخرى. SSH نفسها صلبة جدًا.

    أنا يملك كان الناس تصل إلى خادم SSH بيتي في بعض الأحيان (مفتوحة لتايم وارنر كابل). لم يكن لها تأثير فعلي.

    مساهم آخر ، ستيفان ، يسلط الضوء على مدى سهولة الحصول على مزيد من التأمين على SSH:

    إن إعداد نظام مصادقة المفاتيح العامة باستخدام SSH أمر بسيط جدًا ويستغرق إعداده حوالي 5 دقائق.

    إذا قمت بإجبار كل اتصال SSH على استخدامه ، فسوف يجعل النظام الخاص بك إلى حد ما مرنًا كما يمكنك أن تتمناه دون استثمار LOT في البنية الأساسية للأمان. بصراحة ، إنها بسيطة وفعالة (طالما أنك لا تملك 200 حساب - ثم تحصل على فوضى) أن لا تستخدمها يجب أن تكون مخالفة عامة.

    وأخيرًا ، يقدم Craig Watson نصيحة أخرى لتقليل محاولات التطفل:

    أقوم أيضًا بتشغيل خادم git شخصي مفتوح للعالم على SSH ، ولدي أيضًا نفس مشكلات القوة الشديدة التي تتعامل معها ، لذلك يمكنني أن أتعاطف مع موقفك.

    لقد عالجت TheFiddlerWins بالفعل الآثار الأمنية الرئيسية لوجود SSH مفتوحًا على عنوان IP يمكن الوصول إليه بشكل عام ، ولكن أفضل أداة IMO استجابة لمحاولات القوة الغاشمة هي Fail2Ban - برنامج يراقب ملفات سجل المصادقة ، ويكتشف محاولات الاقتحام ويضيف قواعد جدار الحماية إلى الجهاز المحليإيبتبلس جدار الحماية. يمكنك تكوين كل من عدد المحاولات قبل الحظر وطول الحظر (الافتراضي هو 10 أيام).


    هل لديك شيء تضيفه إلى الشرح؟ الصوت قبالة في التعليقات. هل ترغب في قراءة المزيد من الإجابات من مستخدمي Stack Exchange الآخرين المحترفين بالتكنولوجيا؟ تحقق من موضوع المناقشة الكامل هنا.