确保跨站点访问的 SSH 安全

tag-icon tag-icon ssh port
确保跨站点访问的 SSH 安全

我们有 2 台服务器,分别位于不同的地理位置,我们正考虑使用 rsync 脚本来保持某些文件夹同步。我们的设置禁用 root 登录和密码登录,并依赖于密钥文件。

我们在端口 22X 上运行 SSH(只是为了尽量减少登录尝试,而不是通过隐蔽性来实现安全)。

如果我们设置端口转发,以便端口 XYZ 转发到 22X,并禁用密码登录,那么我们还应该采取哪些措施来防止由于开放端口而发生任何恶意活动?

我的想法是,只要我们保证密钥的安全,那么就不会出现问题。我遗漏了什么吗?

答案1

就服务的安全性而言sshd,您可以实施以下一些额外措施(无特定顺序):

  1. 如果预计此sshd守护进程仅在这两个对等体之间使用,则iptables基于源 IP 地址限制对端口 22X 的访问的规则。
  2. ACL tcpwappers
  3. fail2ban可以动态地添加规则iptables/etc/hosts.allow减轻暴力攻击。
  4. 配置端口敲击fwknop在某些发行版中可用。
  5. 根据您使用的版本和分发openssh,您可以设置双因素身份验证,kerberos例如使用。
  6. 您是否已经使用强制访问控制 KSM (SELinux、apparmor 等)?
  7. 定期更新你的密钥。
  8. 看看猴子球项目。它们提供了一种巧妙的方法来将 GPG 验证添加到授权密钥中。

相关内容