ฉันจะเพิ่มความปลอดภัยของ ssh ได้อย่างไร ฉันต้องการรหัสและรหัสผ่านหรือไม่

ฉันมีเครือข่ายเซิร์ฟเวอร์ขนาดเล็กและฉันต้องการเพิ่มความปลอดภัยทั่วไป ฉันมีเวลา / เงิน / หวาดระแวงไม่เพียงพอในการตั้งค่า VPN - วิธีพื้นฐานที่ฉันสามารถเพิ่มความปลอดภัยของระบบคืออะไร

มีอยู่สิ่งหนึ่งที่ต้องการให้ผู้ใช้ส่งรหัสและป้อนรหัสผ่าน นี่เป็นเรื่องยากสำหรับ Google เพราะทุกอย่างเกี่ยวกับ "รหัสผ่าน ssh สำคัญ" เป็นเรื่องเกี่ยวกับ sshing โดยไม่ต้องใช้รหัสผ่าน :-)

รูปแบบเดียวที่ฉันอยากจะเล่นด้วยคือต้องการให้การเชื่อมต่อที่เข้ามานั้นมาจากรายการที่อยู่ IP ของ Dyndns เท่านั้น ฉันรู้ว่าหัวหน้าหน่วยรักษาความปลอดภัยบางคนจะอาเจียนตามความคิดของความคิด แต่ความจริงของเรื่องนี้คือมันจะเพิ่มความซับซ้อนที่สำคัญมากในการใช้ประโยชน์จากกล่อง

คุณคิดอย่างไร? มีอะไรอีกบ้าง?

การเข้าสู่ระบบด้วยรหัสผ่านและรหัสเป็นเช่นเดียวกับ "just with key" ในระหว่างการสร้างคีย์คุณจะถูกขอให้ป้อนข้อความรหัสผ่าน หากคุณเว้นว่างไว้คุณจะไม่ได้รับรหัสผ่าน หากคุณกรอกข้อความรหัสผ่านคุณจะถูกถามทุกครั้งเมื่อคุณต้องการเข้าสู่ระบบ

หากคุณกังวลเรื่องความปลอดภัยลองพิจารณาคำแนะนำเหล่านี้ที่กล่าวถึงล้านล้านครั้งในฟอรัมนี้:

• ปิดใช้งานการล็อกอิน ssh สำหรับรูท
• อนุญาตการเข้าถึง ssh จากที่อยู่ IP ที่กำหนดเท่านั้น (iptables, hosts.allow, ... )
• ย้ายพอร์ต ssh ไปยังพอร์ตอื่น (เพิ่มความสับสนมากขึ้นแล้วเพิ่มความปลอดภัย แต่ใช้งานได้)
• ตรวจสอบความพยายามเข้าสู่ระบบต่างประเทศและตอบสนองตาม
• ปรับปรุงระบบของคุณให้ทันสมัย

ฯลฯ

อัปเดต: โปรดอ้างอิงคำตอบที่นี่สำหรับวิธีการต้องการรหัสสาธารณะและรหัสผ่านระบบท้องถิ่นด้วยเซิร์ฟเวอร์ OpenSSH

ความคิดหนึ่งที่ฉันคิดว่าน่าสนใจคือการเคาะพอร์ต - โดยทั่วไปเพื่อสร้างการเชื่อมต่อ ssh คุณต้องตรวจสอบลำดับของพอร์ตอื่นก่อนที่เซิร์ฟเวอร์ ssh จะยอมรับการร้องขอการเชื่อมต่อ หากไม่ได้ใช้ลำดับของพอร์ตที่ถูกต้องจะไม่มีการตอบสนองดังนั้นจึงดูเหมือนว่าไม่มีเซิร์ฟเวอร์ ssh ทำงานอยู่ ลำดับของพอร์ตสามารถปรับแต่งได้และสามารถแชร์กับผู้ใช้ที่คุณต้องการ คนอื่น ๆ จะไม่สามารถเชื่อมต่อได้อย่างมีประสิทธิภาพ

ฉันไม่ได้ลองด้วยตัวเอง แต่จากสิ่งที่ฉันได้ยิน (ซึ่งไม่มากจริง ๆ ) ค่าใช้จ่ายเล็กน้อยและลดโปรไฟล์การมองเห็นของคุณลงอย่างมาก

แพทช์ที่เกี่ยวข้องกับการเปิดใช้งานโดยตรงใน SSH และการสนทนาที่เกี่ยวข้องมากมาย:

• https://bugzilla.mindrot.org/show_bug.cgi?id=983

สิ่งนี้สามารถทำได้โดยไม่ต้องแก้ไขโดยให้สคริปต์ตรวจสอบรหัสผ่านรวมกับการใช้ForceCommandตัวเลือกการกำหนดค่า

• http://www.tuxz.net/blog/archives/2010/03/17/how_to_quickly_setup_two-factor_ssh_authentication/

ในที่สุดแม้ว่าจะไม่มีโมดูลอยู่หากคุณย้ายการรับรองความถูกต้องของคีย์สาธารณะไปยัง PAM คุณจะสามารถกำหนดให้ทั้งสองขั้นตอนผ่านก่อนที่ PAM จะถือว่าการรับรองความถูกต้องสำเร็จ

เพียงแค่ใช้

RequiredAuthentications publickey, password

ในsshd_configถ้าคุณใช้ sshd จาก ssh.com คุณลักษณะนี้ไม่สามารถใช้ได้ใน OpenSSH

คุณสามารถใช้รหัสผ่านครั้งเดียวเพื่อเพิ่มความปลอดภัยได้ สิ่งนี้จะอนุญาตให้ผู้ใช้เข้าสู่ระบบจากเทอร์มินัลที่ไม่ปลอดภัยซึ่งอาจมี keylogger หากก่อนหน้านี้พวกเขาสร้างรหัสผ่านถัดไป นอกจากนี้ยังมีตัวสร้างรหัสผ่านที่สามารถติดตั้งได้แม้บนโทรศัพท์ Java MIDP รุ่นเก่าที่คุณพกติดตัวตลอดเวลา

ฉันอยากจะแนะนำให้คุณไม่เคยใช้บริการการจัดการ sshd, rdp หรือดังกล่าวโดยไม่มีข้อ จำกัด IP ที่จริงแล้วฉันขอแนะนำให้ จำกัด การเข้าถึงบริการดังกล่าวให้กับผู้ดูแลระบบที่เชื่อมต่อผ่าน VPN

เกี่ยวกับคำถามดั้งเดิมของคุณเกี่ยวกับการขอคีย์และรหัสผ่านหากคุณใช้ RHEL หรือ CentOS 6.3 ตอนนี้ก็เป็นไปได้ บันทึก RHEL 6.3 ปล่อยอธิบายมันก็เป็นเรื่องของการเพิ่มนี้ sshd_config ของคุณ

RequiredAuthentications2 publickey,password

ฉันเห็นด้วยอย่างยิ่งกับ 3molo OpenSSH เป็นเซิร์ฟเวอร์ SSH เริ่มต้นของ Linux และ Unix ไม่มีเหตุผลที่เราจะเปลี่ยนโดยเฉพาะอย่างยิ่งเพื่อความปลอดภัย VPN ควรเป็นทางออกที่ดีที่สุดซึ่งสามารถเข้ารหัสการรับส่งข้อมูลของเราและให้การอนุญาตรหัสผ่าน 2 ขั้นตอน

ไม่แน่ใจว่าทำไมไม่มีใครพูดถึงมัน แต่คุณควรสร้างคีย์ให้ยาวกว่า 1024 บิตเริ่มต้นซึ่งไม่ปลอดภัยอีกต่อไป