我可能在标题中使用了错误的语言。这是我的任务:我目前进入办公室,在那里我使用本地网络通过 ssh 连接到运行 Rasbian 的各种 Raspberry Pi。我计划执行我最近偶然发现的这个“端口转发”功能,以便在家中获得相同级别的访问权限。
尽管场景很具体,但我认为问题却很普遍:如果我设置了端口转发,并且每个设备上的 ssh 配置都需要密钥对(无密码),我是否已检查所有基本安全框?或者我应该采取其他措施来保护我的设备?
答案1
安全检查表可以长到您想要的长度,并且高度依赖于您的组织要求。这实际上是基于风险、实施这些措施所需的努力以及与安全措施相关的生产力损失的判断。您可以选择最低限度(如您的设置),也可以选择最高机密级别的强化掩体,配备气隙网络、武装安保和光纤连接以减少网络电缆之间的串扰。这完全是成本问题,在某些情况下,任何一种情况都是合理的。互联网 QA 网站无法为您做出这个决定。
我可以给出一些一般指导原则:
- 我认为大多数公司都不会乐意让最终用户或开发机器直接连接到互联网(我认为简单的端口转发就是直接连接到互联网,因为攻击者和机器之间没有进行真正的过滤)。“跳转主机”或 VPN 设置可以缓解这个问题。
- 理论上,SSH 密钥可以被认为是安全的,但是这些东西可能高度依赖于具体实现。OpenSSH 在安全性方面享有盛誉。就我个人而言,我不会太担心使用密钥。
- 您没有提到任何有关更新的内容。如果您将一台机器连接到互联网,更新将成为最重要的因素之一,因为这是保护您免受新漏洞攻击的唯一方法。
- 除了更新之外,日志记录也变得更加重要。你可能想知道发生了什么什么时候你的一台机器被入侵了(注意没有如果, 它是什么时候)因为你的企业可能无力承担一切当发生违约时。
- 您当前的设置没有 MFA,这在安全领域现在非常流行,您可能需要考虑这一点。
由于这主要是一种判断,我会询问公司中谁的职责适合这种决定,并听从他们的意见。告知他们事实、风险和收益,让他们做出决定。