我在主机上运行 SSH 服务器。这方面的安全风险是什么?端口转发或 DMZ 有哪些优缺点?
另外,有没有办法在不对路由器进行任何更改的情况下隧道化 SSH 服务器?
答案1
安全风险
SSH 在知名端口上运行。您可以通过切换到不知名的端口号来减少犯罪分子攻击的数量(但请注意,不知名并不安全)。这些攻击是一种滋扰,会填满日志文件并占用资源。
最大的风险是您在 SSH 中允许密码验证。大多数入侵尝试都会尝试数千种常用用户名(“root”、“john”等)和常用密码的组合。他们迟早会猜对。最好的解决方案是仅允许基于密钥的登录,并将登录限制为特定的用户 ID 列表。
端口转发与 DMZ
一些路由器供应商误用了术语 DMZ,将其理解为通配符端口转发。严格来说,DMZ 是一个独立的 LAN 段,您可以在其中放置面向公众的服务器。如果这些服务器被犯罪分子控制,犯罪分子仍然无法访问您的内部 LAN(您在其中保存任何机密或有价值的数据)。我会尽可能同时使用端口转发和真正的 DMZ。
无需端口转发即可通过隧道连接到 SSH。
唯一的办法就是建立一个反向隧道到外部会合点。
答案2
我来晚了,但这是我的常识性方法。
在 DMZ 中的 SSH 服务器上:
- 禁用远程根访问
- 禁用密码验证
- 更改 SSH 端口号
- 将您的 LONG RSA 公钥放入非 root 用户的 .ssh 文件夹授权密钥中
- 获取服务器的公钥
然后当您连接时:1) 使用您的 RSA 私钥。2) 始终将 DMZ 服务器的公钥提供给 SSH 连接。
您连接的用户可能已设置为 sudo。但更安全的方法是使用 root 身份进行 su。
公钥将防止中间人攻击。切勿盲目连接到 DMZ 中的 IP 地址。切勿切勿。
您可以在 Putty 中完成所有这些操作。
或者使用像“EESM ForestSafe”这样的 PPM 产品对远程终端进行全面审计等。此外,使用良好的 PPM 系统,如果您要使用 su 路线,则可以在会话完成后更改 root 密码。
SSH 有详尽的文档记录并且稳定可靠,而且长 RSA 密钥仍然无可匹敌。
保持简单,您理解的安全性总是最有效的。
祝你好运。