Configuración de trabajo mínima para una seguridad razonable en openssh en Linux [duplicado]

Question

Configuración de trabajo mínima para una seguridad razonable en openssh en Linux [duplicado]

#1 de Jakuje (2 votos)

1

Quiero conectarme desde mi computadora portátil al servidor doméstico (ambos ejecutan algunos Linux; aviso, quiero explícitamente que mi usuario pueda convertirse en root, para, por ejemplo, instalar un nuevo software): el servidor tiene el siguiente sshd_config :

AllowUsers <zzz-my-user>
PermitRootLogin no
HostKey /etc/ssh/ssh_host_rsa_key
ChallengeResponseAuthentication no
PasswordAuthentication no
# PubkeyAcceptedKeyTypes ssh-rsa*
LoginGraceTime 8
X11Forwarding no
PrintMotd no
MaxStartups 2:30:10
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server

en el cliente con el que actué

mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -o -t rsa -b 4096

y luego agregué la clave pública en el servidor en .ssh/authorized_keys , donde también actué

sudo ssh-keygen -o -N '' -b 4096 -t rsa -f /etc/ssh/ssh_host_rsa_key

¿Cree que este procedimiento y configuración mínimos pueden garantizar un nivel de seguridad razonable? ¿Sugeriría alguna mejora?

linux ssh rsa openssh

pregunta jj_p 06.03.2016 - 18:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux ssh rsa openssh

Almacenar SHA256 en un servidor sql ¿Cuál es la mejor práctica al usar una VPN y una VM?

score 2 · Accepted Answer

Si está ejecutando una versión bastante reciente de openssh, recomendaría más bien
```
PermitRootLogin without-password
```
No debería importar si no permite la autenticación con contraseña (pero si desea más información cuando decida permitirlo por alguna razón).
No está seguro de lo que quiere decir con " para poder rootear ", pero si desea permitir el inicio de sesión de root, también debe incluir ese usuario en la opción AllowUsers , si <zzz-my-user> no es root.
UsePrivilegeSeparation sandbox es el valor predeterminado actual. Funciona bien y agrega otra capa de seguridad.

Otras opciones dependen de los casos de uso que necesite usar y contra los que desea protegerse. Pero, en general, prohibir el envío de túneles, reenvíos de puertos o X11 puede ser una forma si no desea usarlo.