SSH сервер - безопасность

[BigD]

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.

Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

По ключу вместо пароля нельзя аутентифицироваться?

На что влияет выбор  ssh security-level? Нигде не нашел этой информации.

 

•  

Версия 2.12.A.4.0-0:

• добавлен компонент SSH-сервер
  
  
   
  • service ssh — запуск сервиса
  • ip ssh port {port} — поменять порт, по умолчанию 22
  • ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
  • ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
    • threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
    • duration — время блокировки, от 1 до 60 минут, по умолчанию 15
    • observation-window — окно от 1 до 10 минут, по умолчанию 3
  • ip ssh keygen (default | ...) — регенерация ключа заданного типа
  • show ssh fingerprint — показать отпечатки текущих ключей

Edited September 3, 2018 by BigD

[r13]

1 минуту назад, BigD сказал:

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

[BigD]

Just now, r13 said:

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

блин, ну это такая дыра получается..

[r13]

3 минуты назад, BigD сказал:

На что влияет выбор  ssh security-level? Нигде не нашел этой информации. 

Смотрит ли сервер наружу или нет

[r13]

4 минуты назад, BigD сказал:

По ключу вместо пароля нельзя аутентифицироваться?

Ключей пока нет, только логин.пароль

[BigD]

Just now, r13 said:

Смотрит ли сервер наружу или нет

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

[r13]

1 минуту назад, BigD сказал:

блин, ну это такая дыра получается..

Поэтому у меня наружу только vpn.

[BigD]

Just now, r13 said:

Поэтому у меня наружу только vpn.

Логично, но мне нужен ssh именно как альтернатива VPN (с работы работает и т.д.)

[BigD]

@Le ecureuil - подскажите плиз, что тут можно сделать?

[r13]

1 минуту назад, BigD сказал:

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Это все типы сегментов кинетика

public - доступ снаружи

private/protected - внутренние сегменты(По дефолту Home/Guest)

 

[BigD]

6 minutes ago, r13 said:

Ключей пока нет, только логин.пароль

А какова максимальная длина пароля? Чтобы он и в веб пускал админа.

[Le ecureuil]

21 час назад, BigD сказал:

@Le ecureuil - подскажите плиз, что тут можно сделать?

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Потому что точно такой же перебор можно и на VPN устроить.

[BigD]

1 hour ago, Le ecureuil said:

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Edited September 4, 2018 by BigD

[Le ecureuil]

1 час назад, BigD сказал:

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

[naileddeath]

В 04.09.2018 в 22:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

[Le ecureuil]

Сторонние сервисы не поддерживаются.

[tvmaker]

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

[ankar84]

8 часов назад, tvmaker сказал:

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Тему в развитии создавал, только большого отклика у комьюнити не заметил.

Если интересно, поддержите голосованием.