どこからでも接続できるように、SSHDでインターネットを開く前にLinuxデスクトップを適切に保護するためにどのような措置を講じる必要がありますか?
答え1
リモートSSHログインにはパスワードの代わりにRSAキーを使用することをお勧めします。
第二に、インストールする必要があります2Ban失敗または、無差別代入試行をブロックすることと同じです(SSHアクセスに対するRSA公開/秘密鍵認証のためにパスワード認証を再度無効にすると、これが問題になる可能性があります)。
第三に、SSHを介してルートが接続されるのを防ぎます。これを行い、sudo
接続した後に使用することをお勧めします。
残りは…まあ、SSHは本質的にほとんどのものよりも安全ですが、インターネット経由でサービスを提供するときは、すべての一般的な予防措置が適用されます。
答え2
SSHサーバーが最新であることを確認してください。 OpenSSHは優れたセキュリティ記録を持っていますが、あなたはそれを望んでいません。
許可が必要かどうか慎重に検討してくださいパスワード認証。通常、信頼できるコンピュータでのみログインする必要があります(キーロガーを実行できるコンピュータではパスワードを入力しないでください)、これらの信頼できるコンピュータは通常ユーザーが制御し、SSH秘密鍵を保持します。したがって、ほとんどの場合、パスワードの確認は役に立ちません。障害を負うそれ。パスワード認証を禁止する主な理由は、ユーザーがパスワードをうまく管理できないためです。つまり、パスワードを再使用し(それでパスワードが破損している)、推測しにくいパスワードを選択するのにうまくいかないからです(パスワードは無差別攻撃です)。あなたがコンピュータの唯一のユーザーであり、パスワードが強力で他の場所では使用されず、推測しやすいテストアカウントパスワードがなく、将来もない場合、アカウントを開設することはできません。友だちの場合は、パスワードの確認を許可してください。
SSHを介してログインできるユーザーのセットを制限できます。特に、中低レベルの洗練された攻撃者を相手にしている場合、ルートログインを無効にすると攻撃速度が遅くなる可能性があります。しかし、それは大きな問題ではありません。ユーザーアカウントからrootにアップグレードするのが最も難しい部分ではありません。
可能であれば、別のコンピュータまたは読み取り専用メディアにログを保存してください。推測されたパスワードを使用して無差別代入試行を実行する多くのボットがあることに注意してください。弱い結合。これらのボットは適切なセキュリティ設定(強力なパスワード、低いエントロピーキーなし)を使用して積極的ではありませんが、ログエントリを生成できます。これらの無差別代入試行を大部分削除する 1 つの方法は、デフォルト以外のポートで ssh を実行することです。これはログボリュームを減らす唯一の方法です(プローブトラフィックを少し減らすことができます)、それ自体は追加のセキュリティを提供しません。
また、見ることができますSecurity Stack Exchangeに関する同様の質問。
答え3
よく読んでくださいLinuxサーバーの強化セキュリティスタック交換に関する質問です。これには、脆弱なサービスを終了し、不要で無駄なサービスを削除することが含まれます。
答え4
SSH接続速度制限そしてSSH設定をさらに強化するには、記事に記載されているリンクに従ってください。また、sshdがプロトコル2のみを使用するように制限して、sshを介した直接ルートログインを禁止します。
アカウントのみログインできます。パスワード確認を無効にします。ポート22を使用しないでください。秘密鍵のパスワードを使用してください。