SSH के पीछे एक होम सर्वर को चलाना कितना जोखिम भरा है?
जब आपको अपने घर के नेटवर्क पर अधिक से अधिक इंटरनेट पर कुछ खोलने की आवश्यकता होती है, तो यह करने के लिए एक एसएसएच सुरंग एक सुरक्षित पर्याप्त तरीका है?
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।.
प्रश्न
सुपरयूज़र रीडर अल्फ्रेड एम। जानना चाहता है कि क्या वह कनेक्शन सुरक्षा के साथ सही रास्ते पर है:
मैंने हाल ही में एक छोटा सर्वर स्थापित किया है, जिसमें कम एंड कंप्यूटर वाला डेबियन चल रहा है, इसका उपयोग एक व्यक्तिगत गिट रिपॉजिटरी के रूप में करने के लिए किया गया है। मैंने ssh को सक्षम किया है और उस मुस्तैदी पर काफी आश्चर्य हुआ है जिस पर वह क्रूर बल के हमलों और उस तरह से पीड़ित था। फिर मैंने पढ़ा कि यह काफी सामान्य है और इन हमलों को रोकने के लिए बुनियादी सुरक्षा उपायों के बारे में सीखा है (इसके साथ बहुत सारे सवाल और डुप्लिकेट डील पर हैं, उदाहरण के लिए यह एक या यह देखें).
लेकिन अब मैं सोच रहा हूं कि क्या यह सब प्रयास के लायक है। मैंने ज्यादातर मौज-मस्ती के लिए अपना खुद का सर्वर स्थापित करने का फैसला किया: मैं सिर्फ तीसरे पक्ष के समाधानों पर भरोसा कर सकता था जैसे कि gitbucket.org, bettercodes.org इत्यादि द्वारा पेश किए गए। जबकि मज़ा का एक हिस्सा इंटरनेट सुरक्षा के बारे में सीखने के बारे में है, मैंने नहीं किया है। एक विशेषज्ञ बनने के लिए इसे समर्पित करने के लिए पर्याप्त समय और लगभग निश्चित हो कि मैंने सही रोकथाम के उपाय किए.
यह तय करने के लिए कि क्या मैं इस खिलौना परियोजना के साथ खेलना जारी रखूंगा, मैं यह जानना चाहूंगा कि ऐसा करने में मुझे वास्तव में क्या जोखिम है। उदाहरण के लिए, मेरे नेटवर्क से जुड़े अन्य कंप्यूटर किस हद तक खतरे में हैं? इन कंप्यूटरों में से कुछ का उपयोग लोग विंडोज चलाने वाले खदान से भी कम ज्ञान के साथ करते हैं.
अगर मैं बुनियादी दिशा-निर्देशों जैसे कि मजबूत पासवर्ड, ssh के लिए अक्षम रूट एक्सेस, ssh के लिए गैर मानक पोर्ट और संभवतः पासवर्ड लॉगिन को अक्षम करने और fail2ban, denyhosts या iptables नियमों का उपयोग करके उपयोग करने की संभावना है, तो मैं वास्तविक मुसीबत में पड़ सकता हूं?
एक और तरीका रखो, क्या कुछ बड़े बुरे भेड़िये हैं जिनसे मुझे डरना चाहिए या यह सब स्क्रिप्ट किडिज़ को दूर करने के बारे में है?
अल्फ्रेड को तीसरे पक्ष के समाधान के लिए रहना चाहिए, या उसका DIY समाधान सुरक्षित है?
उत्तर
सुपरयूजर योगदानकर्ता TheFiddlerWins अल्फ्रेड को आश्वस्त करता है कि यह काफी सुरक्षित है:
खुले इंटरनेट पर सुनने के लिए सबसे सुरक्षित चीजों में से एक है IMO SSH। यदि आप वास्तव में चिंतित हैं तो यह एक गैर-मानक उच्च अंत पोर्ट पर सुनता है। मुझे अभी भी आपके बॉक्स और वास्तविक इंटरनेट के बीच एक (डिवाइस स्तर) फ़ायरवॉल है और बस SSH के लिए पोर्ट फ़ॉरवर्डिंग का उपयोग करना चाहिए, लेकिन यह अन्य सेवाओं के खिलाफ एक सावधानी है। SSH अपने आप में बहुत ठोस है.
मैं है लोगों ने मेरे घर SSH सर्वर को कभी-कभार मारा (टाइम वार्नर केबल के लिए खुला)। कभी वास्तविक प्रभाव नहीं पड़ा.
एक और योगदानकर्ता, स्टीफ़न, SSH को और अधिक सुरक्षित करना कितना आसान है, इस पर प्रकाश डाला गया:
SSH के साथ सार्वजनिक कुंजी प्रमाणीकरण प्रणाली स्थापित करना वास्तव में तुच्छ है और सेटअप करने में लगभग 5 मिनट लगते हैं.
यदि आप इसका उपयोग करने के लिए सभी SSH कनेक्शन को बाध्य करते हैं, तो यह आपके सिस्टम को बहुत अधिक लचीला बना देगा क्योंकि आप बिना सुरक्षा बुनियादी ढांचे में निवेश किए बिना आशा कर सकते हैं। सच कहूँ तो, यह इतना सरल और प्रभावी है (जब तक आपके पास 200 खाते नहीं हैं - तब यह गड़बड़ हो जाता है) इसका उपयोग न करना एक सार्वजनिक अपराध होना चाहिए.
अंत में, क्रेग वाटसन घुसपैठ पर प्रयासों को कम करने के लिए एक और टिप प्रदान करता है:
मैं एक व्यक्तिगत git सर्वर भी चलाता हूं जो SSH पर दुनिया के लिए खुला है, और मेरे पास आपके जैसा ही क्रूर बल मुद्दे भी हैं, इसलिए मैं आपकी स्थिति के प्रति सहानुभूति रख सकता हूं.
TheFiddlerWins पहले से ही सार्वजनिक रूप से सुलभ आईपी पर SSH के खुले होने के मुख्य सुरक्षा निहितार्थों को संबोधित करता है, लेकिन जानवर बल के प्रयासों के जवाब में सबसे अच्छा उपकरण IMO है Fail2Ban - सॉफ्टवेयर जो आपकी प्रमाणीकरण लॉग फ़ाइलों की निगरानी करता है, घुसपैठ के प्रयासों का पता लगाता है और फ़ायरवॉल नियम जोड़ता है मशीन का स्थानीय
iptables
फ़ायरवॉल। आप एक प्रतिबंध से पहले और प्रयास की लंबाई दोनों को कॉन्फ़िगर कर सकते हैं (मेरी डिफ़ॉल्ट 10 दिन है).
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.