उद्घाटन और लॉकिंगडाउन एसएसएच

मैं अपने NAT राउटर के माध्यम से अपने SSH सेवा को पोर्ट करने के बारे में हूं जो WAN की तरफ पहुंच को सक्षम करता है। पोर्ट अग्रेषण से पहले SSH सेवा को बंद करने के लिए मुझे क्या कदम उठाने चाहिए।

मैं वर्तमान में हूँ :

एक मजबूत पासवर्ड का उपयोग करना - क्या मुझे कुंजी फ़ाइलों का उपयोग करना चाहिए?
एक गैर-मानक पोर्ट का उपयोग करना

विचार :

वैसे भी मैं एन्क्रिप्शन कुंजी आकार 'बीफ़ अप' कर सकता हूं जैसे कि 1024-बिट से 2048 तक, मुझे नहीं पता कि एसएसएच क्या उपयोग करता है?
क्या मैं किसी भी तरह की एंटी-ब्रूट फोर्स प्रोटेक्शन को लागू कर सकता हूं?
क्या मुझे किसी प्रकार के पारस्परिक प्रमाणीकरण को लागू करने की आवश्यकता है?

मुझे और क्या करना चाहिए? मैं लिनक्स पर ओपनएसएसएच का उपयोग कर रहा हूं।

ssh

— jammmie999
स्रोत

यदि आप एंटी-ब्रूट-फोर्स प्रोटेक्शन के बारे में उत्सुक हैं, तो विफलता 2ban देखें। अन्यथा, यह कोई विशिष्ट प्रश्न नहीं है। यह सुपर यूजर के लिए बहुत खुला है । आप बहुत सारी राय और संभावित बहस प्राप्त करने जा रहे हैं, जिसे हम यहां से दूर रहने की कोशिश करते हैं। यदि आपको अपने "विचारों" को लागू करने के बारे में मदद की आवश्यकता है, तो प्रत्येक व्यक्ति स्वयं के द्वारा एक व्यक्तिगत प्रश्न के रूप में खड़ा होगा (यानी, "मैं उस कुंजी को कैसे बढ़ाऊं जो OpenSSH उपयोग करता है?") - बस यह सुनिश्चित करें कि यह पहले नहीं पूछा गया है।

— डार्थ Android

• एक मजबूत पासवर्ड का उपयोग करना - क्या मुझे कुंजी फ़ाइलों का उपयोग करना चाहिए?

कुंजी फाइलें पासवर्ड से अधिक सुरक्षा प्रदान करेंगी - यदि आप अपनी निजी कुंजी (क्लाइंट अंत पर उपयोग की जाने वाली कुंजी) को बहुत अच्छे पासवर्ड से पास- प्रोटेक्ट करते हैं।

• एक गैर-मानक पोर्ट का उपयोग करना

आप ऐसा करने से लॉग इन करने की कोशिश कर रहे यादृच्छिक हमलावरों की संख्या को काफी हद तक कम कर देंगे। यह "अस्पष्टता से सुरक्षा" है, लेकिन यह सुनिश्चित कर सकता है कि आपकी लॉग फाइलें क्लीनर हैं। मैं करता हूं।

• वैसे भी मैं 1024 बिट से 2048 तक एन्क्रिप्शन कुंजी आकार जैसे 'बीफ़ अप' कर सकता हूं, मुझे नहीं पता कि एसएसएच क्या उपयोग करता है?

जब आप ssh-keygenअपनी कुंजी बनाने के लिए कमांड का उपयोग करते हैं , तो आप अपनी पसंद की कोई भी लंबाई निर्दिष्ट कर सकते हैं। लंबी कुंजियाँ कनेक्शन दीक्षा को धीमा कर देती हैं। यदि आपके पास अपने सर्वर से तेज़ कनेक्शन नहीं है, तो वास्तव में लंबी कुंजी आपको समय-समय पर यानी सेलुलर नेटवर्क पर कनेक्ट होने से रोक सकती है।

• क्या मैं किसी भी तरह की एंटी-ब्रूट फोर्स प्रोटेक्शन को लागू कर सकता हूं?

fail2ban ऊपर @Darth Android उल्लेख के रूप में एक अच्छा विचार है।

• क्या मुझे किसी प्रकार के पारस्परिक प्रमाणीकरण को लागू करने की आवश्यकता है / कर सकता हूँ?

sshपहले से उपयोग की जाने वाली प्रमुख प्रणाली यह प्रदान करती है। एक SSH क्लाइंट को आपको सर्वर का फ़िंगरप्रिंट बताना चाहिए, और आपको इसकी तुलना उस वास्तविक सर्वर फ़िंगरप्रिंट से करनी चाहिए, जिसे आपने पहले सत्यापित किया था।

अन्य चीजें जो आपको करनी चाहिए:

जितनी जल्दी हो सके सभी OpenSSH अपडेट लागू करें
रूट लॉगिन को अस्वीकृत करने के लिए कॉन्फ़िगर फ़ाइल सेट करें। इस तरह रूट पहुँच 2 पासवर्ड, एक में होने की जरूरत है sshऔर एक suया इस तरह के एक बार आप कर रहे हैं।

— LawrenceC
स्रोत

कुंजी-फ़ाइलों का उपयोग करना अधिक सुरक्षा प्रदान करता है, भले ही निजी कुंजी की रक्षा करने के लिए पासफ़्रेज़ कितना अच्छा हो: हमले परिदृश्य सर्वर में जाने के लिए पासफ़्रेज़ / कुंजी का अनुमान लगा रहा है (इस मामले में होम राउटर)। यह बेहतर है क्योंकि इसमें अधिक यादृच्छिकता है और किसी भी पासफ़्रेज़ की तुलना में अधिक है, जिसका सामान्य उपयोग हो सकता है। यकीन है, यह निजी कुंजी की रक्षा करने के लिए बुद्धिमान है, लेकिन सामान्य रूप से पासफ़्रेज़ के बजाय कुंजी का उपयोग करना प्रति से अधिक सुरक्षित है।

— अकीरा