Jump to content
  • 0
BigD

SSH сервер - безопасность

Question

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.

Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

По ключу вместо пароля нельзя аутентифицироваться?

На что влияет выбор  ssh security-level? Нигде не нашел этой информации.

 

  •  

Версия 2.12.A.4.0-0:

  • добавлен компонент SSH-сервер

    ssh_server.jpg
     
    • service ssh — запуск сервиса
    • ip ssh port {port} — поменять порт, по умолчанию 22
    • ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
    • ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
      • threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
      • duration — время блокировки, от 1 до 60 минут, по умолчанию 15
      • observation-window — окно от 1 до 10 минут, по умолчанию 3
    • ip ssh keygen (default | ...) — регенерация ключа заданного типа
    • show ssh fingerprint — показать отпечатки текущих ключей
Edited by BigD

Share this post


Link to post
Share on other sites

17 answers to this question

  • 0
1 минуту назад, BigD сказал:

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

блин, ну это такая дыра получается..

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, BigD сказал:

На что влияет выбор  ssh security-level? Нигде не нашел этой информации. 

Смотрит ли сервер наружу или нет

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, BigD сказал:

По ключу вместо пароля нельзя аутентифицироваться?

Ключей пока нет, только логин.пароль

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Смотрит ли сервер наружу или нет

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, BigD сказал:

блин, ну это такая дыра получается..

Поэтому у меня наружу только vpn.

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Поэтому у меня наружу только vpn.

Логично, но мне нужен ssh именно как альтернатива VPN (с работы работает и т.д.)

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, BigD сказал:

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Это все типы сегментов кинетика

public - доступ снаружи

private/protected - внутренние сегменты(По дефолту Home/Guest)

 

Share this post


Link to post
Share on other sites
  • 0
6 minutes ago, r13 said:

Ключей пока нет, только логин.пароль

А какова максимальная длина пароля? Чтобы он и в веб пускал админа.

Share this post


Link to post
Share on other sites
  • 0
21 час назад, BigD сказал:

@Le ecureuil - подскажите плиз, что тут можно сделать?

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Потому что точно такой же перебор можно и на VPN устроить.

Share this post


Link to post
Share on other sites
  • 0
1 hour ago, Le ecureuil said:

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Edited by BigD

Share this post


Link to post
Share on other sites
  • 0
1 час назад, BigD сказал:

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Share this post


Link to post
Share on other sites
  • 0
В 04.09.2018 в 22:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

Share this post


Link to post
Share on other sites
  • 0

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, tvmaker сказал:

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Тему в развитии создавал, только большого отклика у комьюнити не заметил.

Если интересно, поддержите голосованием.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×