Vlákno názorů k článku
Pět tipů jak zabezpečit svůj SSH server od Samuel Kupka - Mne sa zatial najviac pozdava nasledujuca kombinacia: 1) Zakazat...

Mne sa zatial najviac pozdava nasledujuca kombinacia:
1) Zakazat prihlasovanie heslom a inymi divnymi sposobmi, ponechat len kluce:

PermitRootLogin no
StrictModes yes
MaxAuthTries 1
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
KerberosAuthentication no
GSSAPIAuthentication no

2) Urcit povolene loginy:

AllowUsers janko jozko ferko

3) Nastavit firewall, aby povolil len urcity pocet nadviazanych spojeni za nejaky casovy usek:

$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --set
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshblacklist --update --seconds 120 --hitcount 6 -j DROP
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

Takto zabezpeceny server (a samozrejme aktualizovany) sa podla mojich skusenosti da povazovat za celkom bezpecny, co sa tyka utoku cez SSH.

Problem je, ak clovek chodi hore-dole a stale sa pripaja z inej wifi (samozrejme zo svojho stroja, resp. mobilu). Samozrejme, da sa spravit nejaky port knocking alebo mat urcenych niekolko strojov, ktore budu fungovat ako proxy, ale problem nastava, ak na server pristupuje viac roznych pouzivatelov, ktori su rozlezeni. Prave na tento pripad som pisal tie predchadzajuce body.

Ked tak rozmyslam, tak okrem sukromneho serveru u mna doma nemam ziaden iny server, na ktory by som pristupoval iba ja sam.

No, já k tomu přidávám ještě trochu "security by obscurity" a pokud má mít server SSH přístupné z Internetu, tak ho dám na nestandardní port, aby ho nenašly SSH port scannery.