CentOS 6 | OpenSSH
我有一个面向外部的服务器,希望能够通过手机方便地访问它。系统本身是一个孤岛,与我的内部网络完全没有关联/连接。
我目前已将 SSHD 配置为监听不同的端口,并且仅在以下情况下允许连接:
- SSH 流量来自特定的远程 IP
- SSH 客户端正在使用授权的 2048 位 RSA 密钥。
我想取消源 IP 要求,以便从移动设备更方便地进行访问,但我担心我以后会陷入痛苦的世界。
利用类似 fail2ban 的工具来阻止屡教不改的人会有帮助吗?
我的问题是:
如果我保持我的 SSH 服务器为最新版本,并且如果我保持我的私钥秘密/安全,我能有多大信心认为需要 SSH 授权密钥的系统不会轻易受到攻击?
答案1
禁用 sshd 中的密码验证(默认情况下启用),no key option
即使您已启用,其他人仍然可以强制使用PKI 身份验证。这样,如果指纹在第一次尝试时不匹配,服务器将自动关闭连接。它只允许那些拥有王国钥匙的人。
请保密钥匙。
答案2
是的,对于两个请求(或者一个?!)的 ssh 密钥授权和 fail2ban 是非常好的防御。
但是您必须考虑额外的防火墙(阻止 icmp 请求、端口嗅探等)