16 votos

¿Cómo puedo aumentar la seguridad de ssh? Puedo requieren de una clave y contraseña?

Tengo una pequeña red de servidores y me gustaría aumentar la seguridad general. No tengo suficiente tiempo/dinero/paranoia configurar una VPN, lo que de una forma básica que puede aumentar la seguridad de mi sistema?

Una cosa podría ser que los usuarios tengan que enviar su clave y escriba una contraseña. Esto es un poco difícil de google porque todo acerca de "la clave ssh contraseña" es acerca de sshing sin una contraseña. :-)

Un esquema siempre he querido juguete que está requiriendo que las conexiones entrantes sólo provienen de una lista blanca de dyndns direcciones ip. Sé que algunos jefes de seguridad iba a vomitar en el pensamiento de la idea, pero el hecho del asunto es que sería muy significativo de la complejidad para explotar un cuadro.

¿Qué te parece? ¿Qué más hay en el mercado?

8voto

mkudlacek Puntos 1316

El inicio de sesión con la contraseña y la clave es la misma que "sólo con la clave". Durante la creación de la clave, se le pedirá que introduzca la frase de paso. Si lo deja en blanco, no se le pedirá una contraseña. Si usted llenar algunos frase de contraseña, se te pedirá que cada vez que desea iniciar la sesión.

Si usted está preocupado acerca de la seguridad, tenga en cuenta algunos de estos consejos mencionados trillones de veces en este foro:

  • Desactivar el ingreso de ssh para el usuario root
  • Permitir el acceso ssh sólo desde define las direcciones ip (iptables, los ejércitos.permitir,... )
  • Mover ssh puerto a otro puerto (más la oscuridad de seguridad, pero funciona)
  • Monitor de extranjeros intentos de inicio de sesión y reaccionar en consecuencia
  • Mantener su sistema actualizado

Etc, etc.

6voto

weiji Puntos 248

Una idea que me pareció interesante es el puerto de la anulación - básicamente, en orden a establecer la conexión ssh, en primer lugar, de la sonda en una secuencia de otros puertos, antes de que el servidor ssh se acepta una solicitud de conexión. Si la secuencia correcta de los puertos no utilizados, no hay ninguna respuesta, por lo tanto, efectivamente parece que no hay servidor ssh corriendo. La secuencia de puertos es personalizable y puede ser compartido con su intención de los usuarios; todos los demás efectivamente no se puede conectar.

No he probado a mí mismo, pero por lo que he escuchado (que no es mucho, en realidad) la sobrecarga es insignificante y reduce la visibilidad de tu perfil tremendamente.

3voto

Tom Puntos 720

Parches relacionadas con la activación directamente en SSH y un montón de discusión:

Esto también se puede hacer sin modificación por tener una contraseña de verificación de la secuencia de comandos combinados con el uso de la ForceCommand opción de configuración.

Por último, aunque no módulo existe para él, si mueve la autenticación de clave pública, PAM, a continuación, usted sería capaz de exigir tanto los pasos a pasar antes de que PAM se considera la autenticación exitosa.

2voto

Flávio Botelho Puntos 21

Sólo uso

RequiredAuthentications publickey, password

en sshd_config si está utilizando sshd de ssh.com. Esta función no está disponible en OpenSSH.

1voto

Prof. Moriarty Puntos 802

Usted podría también utilizar contraseñas para aumentar la seguridad. Ello permitiría a los usuarios de inicio de sesión de un inseguro terminal, que puede tener un keylogger, si anteriormente ha generado el siguiente contraseña. También hay generadores de contraseña que puede ser instalado incluso en los más antiguos de Java MIDP teléfonos, que lleva con usted todo el tiempo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: