Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.
Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.
Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?
По ключу вместо пароля нельзя аутентифицироваться?
На что влияет выбор ssh security-level? Нигде не нашел этой информации.
Версия 2.12.A.4.0-0:
добавлен компонент SSH-сервер
service ssh — запуск сервиса
ip ssh port {port} — поменять порт, по умолчанию 22
ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
duration — время блокировки, от 1 до 60 минут, по умолчанию 15
observation-window — окно от 1 до 10 минут, по умолчанию 3
ip ssh keygen (default | ...) — регенерация ключа заданного типа
show ssh fingerprint — показать отпечатки текущих ключей
