Configuración de trabajo mínima para una seguridad razonable en openssh en Linux [duplicado]

1

Quiero conectarme desde mi computadora portátil al servidor doméstico (ambos ejecutan algunos Linux; aviso, quiero explícitamente que mi usuario pueda convertirse en root, para, por ejemplo, instalar un nuevo software): el servidor tiene el siguiente sshd_config :

AllowUsers <zzz-my-user>
PermitRootLogin no
HostKey /etc/ssh/ssh_host_rsa_key
ChallengeResponseAuthentication no
PasswordAuthentication no
# PubkeyAcceptedKeyTypes ssh-rsa*
LoginGraceTime 8
X11Forwarding no
PrintMotd no
MaxStartups 2:30:10
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server

en el cliente con el que actué

mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -o -t rsa -b 4096

y luego agregué la clave pública en el servidor en .ssh/authorized_keys , donde también actué

sudo ssh-keygen -o -N '' -b 4096 -t rsa -f /etc/ssh/ssh_host_rsa_key

¿Cree que este procedimiento y configuración mínimos pueden garantizar un nivel de seguridad razonable? ¿Sugeriría alguna mejora?

    
pregunta jj_p 06.03.2016 - 18:25
fuente

1 respuesta

2
  • Si está ejecutando una versión bastante reciente de openssh, recomendaría más bien

    PermitRootLogin without-password
    

    No debería importar si no permite la autenticación con contraseña (pero si desea más información cuando decida permitirlo por alguna razón).

  • No está seguro de lo que quiere decir con " para poder rootear ", pero si desea permitir el inicio de sesión de root, también debe incluir ese usuario en la opción AllowUsers , si <zzz-my-user> no es root.

  • UsePrivilegeSeparation sandbox es el valor predeterminado actual. Funciona bien y agrega otra capa de seguridad.

Otras opciones dependen de los casos de uso que necesite usar y contra los que desea protegerse. Pero, en general, prohibir el envío de túneles, reenvíos de puertos o X11 puede ser una forma si no desea usarlo.

    
respondido por el Jakuje 06.03.2016 - 18:42
fuente

Lea otras preguntas en las etiquetas