Supondré que mencionó que una universidad es un punto del medio ambiente y no está considerando la censura. Pero un servidor OpenSSH funcionará bien aquí. Si bien no es recomendable, asumo que usará el usuario root
, asegúrese de que se use una contraseña respetable, esto se aplica a cualquier usuario autorizado para iniciar sesión en SSH. Si le preocupa que la autenticación de contraseña (teclado interactivo) no sea para usted, consulte la autenticación de clave pública, utilizando ED25519 de 521 bits o RSA de 4096 bits.
En cuanto a /etc/ssh/sshd_config
endurece lo siguiente:
Port 30000
LogLevel VERBOSE
LoginGraceTime 120
PermitRootLogin yes
PermitEmptyPasswords no
# Ideal session timeout
ClientAliveInterval 600
ClientAliveCountMax 0
# Enhanced Authentication
KexAlgorithms diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp521
Ciphers aes256-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
AllowUsers root
Hago un punto para mencionar, se prefiere CTR sobre CBC para OpenSSH exclusivo, consulte: ' Ataques de recuperación de texto sin formato Contra SSH '. El puerto utilizado para el SSH es su elección si se expone a Internet, use un puerto no estándar, debido a las redes de bots.
Fail2Ban es una opción viable para la protección de la fuerza bruta. Considere la siguiente configuración:
[ssh]
enabled = true
filter = sshd
port = 3000
bantime = 600
findtime = 120
maxretry = 5
logpath = /var/log/auth.log
Por supuesto, ajuste en función de sus necesidades, ya que los períodos largos pueden ser un problema si se bloquea accidentalmente. Además, recomendaría mantener Fail2Ban habilitado si la autenticación de clave pública está habilitada. Como reducirá el tráfico en el caso de una fuerza bruta de botnets y, por tanto, el consumo de CPU.
Pruebe su configuración con $ hydra -l root -P /root/rockyou.txt 192.168.1.100 -t 4 ssh
donde rockyou.txt
es una lista de palabras. Esto es para garantizar que la protección contra fuerza bruta funcione correctamente. Puede generar una lista de palabras con john
o crunch
o descargar una. Además, el uso de nmap
garantiza que los únicos puertos abiertos sean aquellos que desea que estén expuestos a su interfaz de red.
Si bien no lo ampliaré, OpenVPN es otra opción viable, pero solo considero esto en lugar de SSH cuando necesito la elusión de la censura.