¿Es seguro mi servidor ssh porque uso DenyHosts y no permito acceso de root?

Navega tus respuestas
2

De ninguna manera soy un experto en seguridad en línea, por lo que quise describir los pasos que estoy tomando para permanecer lo más seguro posible y aún así hacerlo más fácil para acceder a mi sistema desde cualquier lugar (dentro de lo razonable).

Configuré un openssh-server en mi PC con linux ( debian wheezy ) y habilité el reenvío de puerto para el puerto 22. También instalé el paquete DenyHosts y lo configuré con los parámetros predeterminados (bloquee las direcciones IP después de 10 intentos no válidos para el nombre de usuario correcto, o 5 conjeturas de nombre de usuario no válidas). He deshabilitado el acceso de root directamente (es decir, intentar iniciar sesión porque root fallará y después del próximo intento se bloqueará su IP).

He permitido que solo una sola cuenta de usuario sea accesible y he utilizado una contraseña que consideraría segura (mayúsculas y minúsculas, números y números, nada obvio o relacionado conmigo).

¿Es esta una configuración segura? ¿Hay algún problema de seguridad obvio que me esté perdiendo?

Entiendo que la "mejor práctica" es usar un par de claves pública / privada, pero me preocupa que esto haga que sea muy difícil iniciar sesión desde una nueva computadora. Supongamos que tomo mi computadora portátil (o el dispositivo de alguien en quien confío) y lo uso para iniciar sesión a través de putty desde el Starbucks local o el cibercafé. ¿Es seguro, dada mi configuración actual? Y si no, ¿qué tendría que cambiar para hacerlo seguro?

Espero que estas preguntas no sean demasiado vagas. Soy relativamente nuevo en este tema.

    
pregunta quant 10.08.2014 - 13:47
fuente

2 respuestas

4

La seguridad es un concepto relativo. No puedo decir si una determinada configuración es segura porque siempre hay una práctica más segura. Como ha mencionado, el uso de un par de claves pública / privada es más seguro, pero no está dispuesto a sacrificar la comodidad para la seguridad adicional. En última instancia, debe encontrar un equilibrio entre la comodidad y la seguridad con la que se sienta cómodo.

Es posible que desee consultar los filtros de GeoIP para limitar sus inicios de sesión de SSH solo en un determinado país. Esto evitará intentos de fuerza bruta de otros países.

Más información sobre los filtros GeoIP aquí: enlace

Otra posible medida es hacer que SSH escuche en un puerto no predeterminado. La mayoría de los escáneres automáticos solo escanearán el puerto 22 y por lo tanto no recogerán su servidor si se está ejecutando en otros puertos. Sin embargo, también hay inconvenientes en eso. P.ej. En ciertas ubicaciones, los cibercafés pueden bloquear estos puertos no predeterminados.

Más información sobre el puerto no predeterminado aquí: enlace

    
respondido por el limbenjamin 10.08.2014 - 14:05
fuente
2

limbenjamin tiene la idea correcta. Pero junto con sus sugerencias, es posible que también desee consultar los servicios de verificación en dos pasos que pueden enviar un mensaje de texto a su teléfono o correo electrónico con un código antes de darle acceso al servidor.

El siguiente es un buen recurso para configurar la verificación en dos pasos a través de la aplicación Google Authenticator.

<     
respondido por el XerroLP 10.08.2014 - 14:17
fuente

Lea otras preguntas en las etiquetas

¿Por qué se hash de un CSR? ¿Por qué proteger archivos con información sensible con .htacces?