如果需要授权密钥,允许通过 SSH 进行外部访问是否“安全”?

如果需要授权密钥,允许通过 SSH 进行外部访问是否“安全”?

CentOS 6 | OpenSSH

我有一个面向外部的服务器,希望能够通过手机方便地访问它。系统本身是一个孤岛,与我的内部网络完全没有关联/连接。

我目前已将 SSHD 配置为监听不同的端口,并且仅在以下情况下允许连接:

  1. SSH 流量来自特定的远程 IP
  2. SSH 客户端正在使用授权的 2048 位 RSA 密钥。

我想取消源 IP 要求,以便从移动设备更方便地进行访问,但我担心我以后会陷入痛苦的世界。

利用类似 fail2ban 的工具来阻止屡教不改的人会有帮助吗?

我的问题是:

如果我保持我的 SSH 服务器为最新版本,并且如果我保持我的私钥秘密/安全,我能有多大信心认为需要 SSH 授权密钥的系统不会轻易受到攻击?

答案1

禁用 sshd 中的密码验证(默认情况下启用),no key option即使您已启用,其他人仍然可以强制使用PKI 身份验证。这样,如果指纹在第一次尝试时不匹配,服务器将自动关闭连接。它只允许那些拥有王国钥匙的人。
请保密钥匙。

答案2

是的,对于两个请求(或者一个?!)的 ssh 密钥授权和 fail2ban 是非常好的防御。

但是您必须考虑额外的防火墙(阻止 icmp 请求、端口嗅探等)

相关内容