¿Cómo asegurar un servidor OpenSSH en el Subsistema de Windows para Linux (WSL)?

Navega tus respuestas
4

¿Cuáles son las acciones de seguridad básicas que debo tomar cuando aseguro un OpenSSH servidor en Windows Subsystem for Linux (WSL), especialmente cuando ¿Soy el único que debería iniciar sesión en este servidor, pero no puedo usar una lista blanca de IP (por varias razones)?

Además, mi principal preocupación es ataques de fuerza bruta porque mi entorno WSL es súper mínimo y generalmente no tiene instaladas utilidades además de lo que es nativo y si utilizo una contraseña o alguna par de claves, todavía quiero tener este mecanismo que, después de la cantidad X de inicios de sesión falsos, retiene al usuario durante la cantidad de tiempo Y y dice:

  

Se intentaron demasiadas conexiones incorrectas, puedes volver a intentarlo en 24 horas.

Si bien no sé el nombre de dicho mecanismo, podría tener uno a través de la instalación de CSF-LFD , pero no puede instalarlo en WSL por ahora como la versión beta de WSL no incluye los servicios de shell relevantes requeridos por CSF-LFD , ya que podría leer en esta discusión . así que necesito encontrar una alternativa que me permita tener este mecanismo que es muy importante para mí, una vez más, si uso una contraseña o un par de claves.

    
pregunta JohnDoea 11.04.2017 - 07:05
fuente

3 respuestas

0

Afaik todos los datos que ingresen en un "sistema Linux" del Subsistema de Windows para Linux (WSL), pasan por la aplicación "Windows Defender Firewalll" que es suficiente para protegerla y generalmente incluye la protección BFA.

Otra capa de protección (que podría no ser necesaria y agregar una capa adicional de complejidad y posibles problemas, así como defensa) es Fail2ban, CSF-LFD o la utilidad SSHGuard lista para usar que me gusta mucho e instalar en mis sistemas Linux

En cualquier caso, usar claves SSH es bueno y es una buena práctica. Más datos en:

  1. enlace
  2. enlace
respondido por el JohnDoea 26.11.2018 - 05:50
fuente
1

La prevención de ataques de fuerza bruta en un servidor SSH es bastante simple. Solo tiene que habilitar Autenticación de clave pública , luego deshabilitar la autenticación de inicio de sesión / contraseña. (proceda en este orden)

Antes de seguir una guía de configuración, te recomiendo que estudies mecanismo de autenticación de clave pública , luego criptografía asimétrica .

La configuración de una tecnología de la que no sabes nada podría llevar a un caos y una configuración incorrecta, especialmente en el campo de autenticación.

Hay toneladas de guías de configuración en Internet, pruebe las siguientes palabras clave en google:

wsl openssh server public key auth

    
respondido por el Baptiste 23.08.2017 - 03:06
fuente
0

Si desea evitar los ataques de fuerza bruta en su servidor OpenSSH debe implementar Fail2Ban en él, lo que prohibirá una dirección IP en particular durante un período de tiempo específico, cuando se realicen varios intentos fallidos de inicio de sesión. .

Por ejemplo, implementé Fail2Ban en mi servidor y configuré los intentos de fail_login en 5 y time_amount para prohibir la dirección IP es de 1200 segundos. Por lo tanto, si alguna de las direcciones IP intenta cinco intentos de inicio de sesión fallidos, la dirección IP se prohibirá durante 1200 segundos.

Referencia: Cómo proteger SSH con Fail2Ban

    
respondido por el iamjayp 23.08.2017 - 08:09
fuente

Lea otras preguntas en las etiquetas

GPG / GnuPG clave secreta recuperación de contraseña y / o .gnupg / private-keys-v1.d / formato de archivo Fijación de certificado frente a cifrado E2E