¿Existe algún riesgo al abrir el puerto 22 para el acceso ssh con una red? [duplicar]

4

Background

Tenemos nuestro propio centro de datos que alberga entornos específicos de la plataforma y cada entorno está aislado. Cada entorno también tiene 3 niveles (servidores web, servidores de aplicaciones y almacén de datos). También planeamos introducir un marco de automatización (entorno) que necesita comunicarse con los hosts de los entornos específicos de la plataforma.

Network

private datacenter [Automation environment host runs commands ----> <ssh> ---> platform hosts]

Preocupación

Algunos miembros del equipo han planteado esto como una preocupación de seguridad. Especialmente el acceso ssh a los servidores de DB en el nivel 3. Ahora soy más un dev que un operador de operaciones, así que me gustaría obtener una explicación más detallada de por qué esto podría ser un gran riesgo.

¿Puede alguien resaltar claramente por qué esto no se recomienda? o quizás no sea un riesgo, y si es así, puede resaltar las consideraciones para implementarlo.

Gracias.

    
pregunta kaizenCoder 17.03.2015 - 23:55
fuente

2 respuestas

5
  

¿Puede alguien resaltar claramente por qué esto no se recomienda?

Porque cualquier servicio en ejecución está aumentando tu superficie de ataque. Especialmente con los servicios con capacidad de red, siempre está expuesto al peligro. No creo que nadie pueda darle una respuesta más específica que eso, ya que las implementaciones de SSH tienden a estar bastante bien desde el punto de vista de la seguridad. Sin embargo, siempre existe la posibilidad de que se descubra un exploit, otorgando a cualquier persona que envíe los paquetes correctos al acceso a su servidor o que haya configurado mal sus servidores.

Pero, incluso si asume que el software en sí es impecable, hay un par de razones por las que podría querer repensar su enfoque. Obviamente, no nos ha brindado detalles y detalles acerca de su configuración, pero en el mundo real la administración de claves, las pistas de auditoría y el firewall siempre son un problema. Apuntar a otro enfoque podría ser una buena idea.

    
respondido por el Karol Babioch 18.03.2015 - 03:22
fuente
0

En última instancia, necesitas acceso remoto a tus servidores, pero hay algunas cosas que puedes hacer para mantener alejados a los malos.

No ejecute Internet con SSH en una IP utilizada por la aplicación. Lo ideal es utilizar un host dedicado que actúe como un cuadro de salto. Utilice el puerto que golpea. Usa pares de llaves. Utilice fail2ban. No permitir inicios de sesión de root. Restrinja el acceso a un grupo nombrado. No utilice inicios de sesión compartidos. No permita el acceso directo debajo del nivel de presentación.

    
respondido por el symcbean 18.03.2015 - 00:43
fuente

Lea otras preguntas en las etiquetas