Jump to content
  • 0

SSH сервер - безопасность


BigD

Question

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.

Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

По ключу вместо пароля нельзя аутентифицироваться?

На что влияет выбор  ssh security-level? Нигде не нашел этой информации.

 

  •  

Версия 2.12.A.4.0-0:

  • добавлен компонент SSH-сервер

    ssh_server.jpg
     
    • service ssh — запуск сервиса
    • ip ssh port {port} — поменять порт, по умолчанию 22
    • ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
    • ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
      • threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
      • duration — время блокировки, от 1 до 60 минут, по умолчанию 15
      • observation-window — окно от 1 до 10 минут, по умолчанию 3
    • ip ssh keygen (default | ...) — регенерация ключа заданного типа
    • show ssh fingerprint — показать отпечатки текущих ключей
Edited by BigD
Link to comment
Share on other sites

17 answers to this question

Recommended Posts

  • 0
1 минуту назад, BigD сказал:

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

Link to comment
Share on other sites

  • 0
3 минуты назад, BigD сказал:

На что влияет выбор  ssh security-level? Нигде не нашел этой информации. 

Смотрит ли сервер наружу или нет

Link to comment
Share on other sites

  • 0
4 минуты назад, BigD сказал:

По ключу вместо пароля нельзя аутентифицироваться?

Ключей пока нет, только логин.пароль

Link to comment
Share on other sites

  • 0
Just now, r13 said:

Смотрит ли сервер наружу или нет

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Link to comment
Share on other sites

  • 0
1 минуту назад, BigD сказал:

блин, ну это такая дыра получается..

Поэтому у меня наружу только vpn.

Link to comment
Share on other sites

  • 0
1 минуту назад, BigD сказал:

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Это все типы сегментов кинетика

public - доступ снаружи

private/protected - внутренние сегменты(По дефолту Home/Guest)

 

Link to comment
Share on other sites

  • 0
21 час назад, BigD сказал:

@Le ecureuil - подскажите плиз, что тут можно сделать?

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Потому что точно такой же перебор можно и на VPN устроить.

Link to comment
Share on other sites

  • 0
1 hour ago, Le ecureuil said:

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Edited by BigD
Link to comment
Share on other sites

  • 0
1 час назад, BigD сказал:

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Link to comment
Share on other sites

  • 0
В 04.09.2018 в 22:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

Link to comment
Share on other sites

  • 0

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Link to comment
Share on other sites

  • 0
8 часов назад, tvmaker сказал:

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Тему в развитии создавал, только большого отклика у комьюнити не заметил.

Если интересно, поддержите голосованием.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...