¿Es la autenticación de clave pública SSH suficiente para proteger un servidor si la lista blanca de IP está deshabilitada?

Question

¿Es la autenticación de clave pública SSH suficiente para proteger un servidor si la lista blanca de IP está deshabilitada?

#1 de Jakuje (1 votos)
#2 de jamieweb (0 votos)

5

Actualmente estoy trabajando para una empresa de inicio que mantiene un servidor en AWS. Actualmente, nuestro servidor está configurado de modo que para poder acceder a él a través de SSH, debe estar en una IP de lista blanca (configurada en AWS) y tener una clave RSA válida para conectarse.

Sin embargo, el desarrollador actual con el que estamos trabajando tiene una IP dinámica que cambia día a día, lo que hace que el mantenimiento de la lista blanca sea una tarea que requiere mucho tiempo (diferentes zonas horarias, comunicaciones, etc.).

¿Qué tan alto es un riesgo de seguridad en el corto plazo para eliminar la lista blanca mientras trabajamos con este desarrollador?

Nota: el servidor actualmente no contiene datos realmente confidenciales (solo un código de propiedad), pero en un futuro próximo lo hará.

authentication ssh rsa server whitelist

pregunta Scott F 03.08.2017 - 23:04

fuente

2 respuestas

Lea otras preguntas en las etiquetas authentication ssh rsa server whitelist

¿Por qué el tamaño máximo de paquete SSH es 32k? ¿Cómo puede Cloudflare determinar el propietario de un sitio web?

score 1 · Answer 1

¿Qué tan alto es un riesgo de seguridad en el corto plazo para eliminar la lista blanca mientras trabajamos con este desarrollador?

Bastante ninguno, si usted y los otros desarrolladores protegen sus claves (almacenar archivos cifrados, tienen discos duros cifrados) y la autenticación de contraseña está deshabilitada en el servidor SSH.

Si deshabilita la autenticación de contraseña, el ataque dirigido usando una clave pública de adivinación (y una clave privada) no tiene sentido, a menos que alguien filtre la clave privada (la computadora de alguien está infectada por algún virus / malware o robada con una clave / disco duro sin cifrar ).

Tenga en cuenta que puede configurar al menos las claves de otros desarrolladores para que sean accesibles solo desde una IP específica, al anteponer from="pattern-list" delante de la clave pública en el archivo authorized_keys . Como puede contener también patrones, también puede crear una máscara para su desarrollador "dinámico".

score 0 · Answer 2

Mientras esté configurado correctamente y use claves fuertes, el riesgo es extremadamente bajo.

La autenticación de la clave SSH es suficiente para proteger un servidor SSH que está expuesto a Internet.

También sugiero usar fail2ban, así como configurar su firewall para limitar las conexiones SSH.

ufw limit 22 si está utilizando UFW y el puerto 22.

La inclusión en la lista blanca de IP es un endurecimiento adicional. Tal vez podría encontrar el rango de direcciones IP que el ISP del desarrollador asigna y enumera en una lista blanca de todo el rango.