¿Es necesaria la seguridad de SSH en una red interna?

Navega tus respuestas
2

Estoy ejecutando una máquina virtual en una computadora portátil de repuesto que tenemos en la oficina y la he configurado para el acceso SSH desde mi estación de trabajo. Actualmente estoy usando la autenticación de usuario / contraseña, pero me gustaría eliminar la contraseña con el indicador NOPASSWD para que sea más fácil ejecutar los comandos sudo y para que mis compañeros de trabajo lo usen. La red de mi oficina no permite el acceso SSH desde fuera de la red local. ¿Es esta una mala idea?

    
pregunta Max Flander 03.08.2018 - 01:44
fuente

2 respuestas

3

En general, cualquier autenticación con contraseña vacía es una mala idea.

  

La red de mi oficina no permite el acceso SSH desde fuera de la red local.

SSH no es la única forma en que un atacante puede obtener acceso a la red interna. Una contraseña significa seguridad mejorada y seguridad significa que cuando un sistema falla, falla con gracia o al menos con la mayor gracia posible. Si la máquina virtual no está diseñada para ser un honeypot, en cualquier otro caso es necesaria una contraseña.

  

Me gustaría eliminar la contraseña con el indicador NOPASSWD para que sea más fácil ejecutar los comandos sudo y para que mis compañeros de trabajo lo usen.

Luego considere usar ssh-keys para la autenticación, se considera una forma más segura de iniciar sesión y no tiene que escribir la contraseña todas las veces.

    
respondido por el game0ver 03.08.2018 - 02:09
fuente
0

TLDR: podría ser una mala idea si crees que tienes algo que no quieres que otros vean, modifiquen o eliminen.

Respuesta larga: -

Depende del riesgo. Vamos a evaluarla a través de una sesión de QnA.

  1. ¿Qué haces con la máquina virtual? a. ¿Por qué otras personas necesitan acceso a él? segundo. ¿Contiene algún dato que otros necesiten? do. ¿Qué tipo de datos es ese? re. ¿Está bien si las personas sin identificar cambian / ven / eliminan?

  2. ¿La VM o la máquina host están conectadas a internet? a. Si la respuesta a la pregunta anterior es 'Sí', ¿es posible volver a conectarse a su estación de trabajo desde la máquina virtual? ¿Cómo te conectas? ¿La contraseña también está en blanco en este caso?

  3. ¿Tiene el hábito de usar contraseñas en blanco en otros lugares de la red?

La respuesta a estas preguntas lo ayudará a comprender los riesgos para sus datos debido a este control débil. Si hay muy poco riesgo, adelante y hágalo.

Como personas de seguridad, las personas lloran cada vez que vemos una contraseña débil / en blanco porque sabemos que esto podría establecer un precedente y la gente comenzará a usar contraseñas en blanco en todas partes sin contexto (¿qué quiere decir con "las contraseñas en blanco son malas?"? ¡No me muestres esa cara! El tipo de seguridad nos dijo que está bien en ese caso 1. Ahora no puedes ser un hipócrita y dime que no se puede hacer en este caso 2. Las reglas deben ser las mismas para cada persona / ¡caso!). Esto nos pone en una mala luz.

En realidad, el contexto lo es todo y los controles de seguridad deben coincidir con la criticidad y la sensibilidad de los datos que se están protegiendo. ¡No protegerá datos / máquinas inútiles con 2FA!

    
respondido por el M S Sripati 04.08.2018 - 22:47
fuente

Lea otras preguntas en las etiquetas

Para un usuario de computadora "normal", ¿hace una diferencia tener una buena fuente de entropía? OAuth: ¿Cómo valida el servidor de recursos que el token de acceso no es para ningún otro servidor de recursos?