まず、これがこの問題を解決するのに適した交換サイトであるかどうかはわかりませんが、より良いサイトが見つからないので、とにかくここに質問します。
最近私は考え始めた。SSHセキュリティ。私Ubuntu仮想マシン(または他のLinuxディストリビューション)は、SSH経由で接続できるサーバーで実行されます。リモートコンピュータの保護を開始するために、以下を使用し始めました。公開鍵/秘密鍵認証に使用されます。
さらに進んで考えてみるルートログインを無効にする- 24文字の長さの生成されたパスワードがあります。
今私の質問は次のとおりです。
- このようなパスワードを使用してルートログインを無効にする必要がありますか?
- これは、リモートコンピュータのセキュリティを維持するのに十分ですか?そうでなければ;
- リモートコンピュータを保護するには、他のどのような対策を講じる必要がありますか?
答え1
これは、リモートコンピュータのセキュリティを維持するのに十分ですか?
これは間違った質問です。絶対的な安全性はなく、安全性は常に相対的です。
「十分に安全」ですか?たぶん「十分に安全」と言ってもセキュリティをさらに強化するのはどうでしょうか?
リモートコンピュータを保護するには、他のどのような対策を講じる必要がありますか?
パスワードログインを完全に無効にすると、気にする必要はありません。 24文字のランダムな文字がパスワードに適していても、キーベースの認証よりはるかに安全ではありません。
非標準ポートを使用してください。これはターゲット攻撃には役立ちませんが、ランダム/自動攻撃を99%以上削除します。パスワードが正確で攻撃が「実質的なダメージ」を引き起こさなくても、ログファイルにスパムが送信されるため、実際の問題を見逃す可能性があります。
ポートノッキングを使用してください。
使用
fail2ban。これにより攻撃はより困難になりますが、攻撃はしばしば複数のIPを持つボットネットで発生するため、影響は依然として制限されています。ユーザー権限を必要最小限に制限します。
可能であれば、ファイアウォールを使用してIP(範囲)ごとに接続を制限してください。
考慮事項:サーバーのセキュリティは単純なもの以上です
ssh。インターネットにさらされているすべてのサービスは脆弱である可能性があるため、いくつかの対策があります。- 権限のない他のユーザーに各サービスを実行させる。
- コンテナ/仮想マシンを使用してプロセスを分離します。
- ファイアウォールを使用して、サービスに必要なポートにのみアクセスを許可します。
- すべてのソフトウェアを常に最新の状態に保ちます。
- 使用しているソフトウェアのセキュリティ勧告に従ってください。
確認するSecurity SEに関する同様の質問と回答より多くの情報を知りたいです。