पहली बार एसएसएच सर्वर को इंटरनेट पर खोलना, क्या जांचना है

मैं अपेक्षाकृत लंबे समय से कुछ सर्वर चला रहा हूं, लेकिन मैंने हमेशा उन्हें किराए पर दिया है, इसलिए मुझे वास्तविक सर्वर हासिल करने का अधिक अनुभव नहीं है (जैसा कि मैं उस पर चल रहा हूं उस एप्लिकेशन के विपरीत)।

अब मैं अपने छोटे से घर SSH सर्वर को इंटरनेट पर खोलने का मन कर रहा हूं।

मैं इसका उपयोग करने वाला केवल एक ही होगा, मेरे पासवर्ड पर्याप्त जटिल हैं, मैंने डिफ़ॉल्ट SSH पोर्ट को लगभग 4000 में बदल दिया है, एकमात्र सुलभ पोर्ट यह SSH पोर्ट है जो मेरे राउटर / फ़ायरवॉल पर पोर्ट-फ़ॉरवर्डिंग के माध्यम से है, और यह अपडेट हो जाता है स्वचालित रूप से हर रात (यह आर्क लिनक्स चलाता है, एक रोलिंग रिलीज वितरण)।

यदि कोई हो, तो क्या, अन्य चीजें जो मुझे सुरक्षित रखने के लिए करनी चाहिए?

धन्यवाद!

सुनिश्चित करें कि रूट लॉगिन अक्षम हैं PermitRootLogin no। मैं पासवर्ड को पूरी तरह से अक्षम करने PasswordAuthentication noऔर सार्वजनिक कुंजियों का उपयोग करने पर भी विचार करूंगा PubkeyAuthentication yes।

सुनिश्चित करें कि केवल SSH-2 की अनुमति है (क्योंकि SSH-1 ने अतीत में कुछ सुरक्षा चिंताओं को उठाया है ):

Protocol 2

निर्दिष्ट करें कि SSH के माध्यम से लॉगिन करने की अनुमति केवल कौन से उपयोगकर्ताओं को है:

AllowUsers bob, john

बढ़ी हुई सुरक्षा के लिए, पासवर्ड प्रमाणीकरण को अस्वीकार करें और सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करें:

PasswordAuthentication no
PubkeyAuthentication yes

नोट: इस ट्यूटोरियल में कुंजियाँ बनाने और सार्वजनिक-कुंजी प्रमाणीकरण को कॉन्फ़िगर करने के निर्देश हैं।

रूट लॉगिन को अक्षम करने या केवल सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करने के बारे में और साथ ही, मैं यह भी दोहराता हूं कि सिस्टम पर कोई उपयोगकर्ता खाते नहीं हैं जिनमें तुच्छ या खाली पासवर्ड हैं। आपने कहा है कि आपके व्यक्तिगत पासवर्ड ठीक हैं, लेकिन यह किसी अन्य कारण से खराब पासवर्ड वाले खाते से इंकार नहीं करता है।

एक उदाहरण के रूप में: मुझे एक नेटवर्क को ठीक करना था जहां पिछले व्यवस्थापक ने स्रोत से अपने सभी सिस्टमों पर नोगिओस स्थापित किया था, और कोई भी पासवर्ड, या पासवर्ड "नागियोस" के साथ एक नगिओस उपयोगकर्ता बनाया, और फिर तीन अलग-अलग मशीनों को प्राप्त करने के लिए आगे बढ़ा। समझौता किया।

आप कुछ प्रकार के IP ब्लैकलिस्टिंग टूल जैसे http://denyhosts.sourceforge.net/ को देखना चाह सकते हैं । यह किसी भी IP को ब्लॉक करता है जो कई बार असफल रूप से लॉग इन करने की कोशिश करता है और अत्यधिक कॉन्फ़िगर करने योग्य होता है।

मेरा सुझाव है कि आप Fail2ban स्थापित! http://www.fail2ban.org

यह x को y मिनट के लिए विफल करने के बाद एक IP पर प्रतिबंध लगाता है, स्क्रिप्ट स्क्रिप्ट को जांच में रखने में मदद करता है;)

आपके सिस्टम के प्रासंगिक भागों / घटकों के पार लॉग रिव्यू करना (इसके वास्तविक / विशिष्ट कॉन्फ़िगरेशन के आधार पर) ...