Jump to content
  • 0
BigD

SSH сервер - безопасность

Question

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.

Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

По ключу вместо пароля нельзя аутентифицироваться?

На что влияет выбор  ssh security-level? Нигде не нашел этой информации.

 

  •  

Версия 2.12.A.4.0-0:

  • добавлен компонент SSH-сервер

    ssh_server.jpg
     
    • service ssh — запуск сервиса
    • ip ssh port {port} — поменять порт, по умолчанию 22
    • ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
    • ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
      • threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
      • duration — время блокировки, от 1 до 60 минут, по умолчанию 15
      • observation-window — окно от 1 до 10 минут, по умолчанию 3
    • ip ssh keygen (default | ...) — регенерация ключа заданного типа
    • show ssh fingerprint — показать отпечатки текущих ключей
Edited by BigD

Share this post


Link to post
Share on other sites

17 answers to this question

Recommended Posts

  • 0
1 минуту назад, BigD сказал:

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

блин, ну это такая дыра получается..

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, BigD сказал:

На что влияет выбор  ssh security-level? Нигде не нашел этой информации. 

Смотрит ли сервер наружу или нет

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, BigD сказал:

По ключу вместо пароля нельзя аутентифицироваться?

Ключей пока нет, только логин.пароль

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Смотрит ли сервер наружу или нет

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, BigD сказал:

блин, ну это такая дыра получается..

Поэтому у меня наружу только vpn.

Share this post


Link to post
Share on other sites
  • 0
Just now, r13 said:

Поэтому у меня наружу только vpn.

Логично, но мне нужен ssh именно как альтернатива VPN (с работы работает и т.д.)

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, BigD сказал:

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Это все типы сегментов кинетика

public - доступ снаружи

private/protected - внутренние сегменты(По дефолту Home/Guest)

 

Share this post


Link to post
Share on other sites
  • 0
6 minutes ago, r13 said:

Ключей пока нет, только логин.пароль

А какова максимальная длина пароля? Чтобы он и в веб пускал админа.

Share this post


Link to post
Share on other sites
  • 0
21 час назад, BigD сказал:

@Le ecureuil - подскажите плиз, что тут можно сделать?

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Потому что точно такой же перебор можно и на VPN устроить.

Share this post


Link to post
Share on other sites
  • 0
1 hour ago, Le ecureuil said:

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Edited by BigD

Share this post


Link to post
Share on other sites
  • 0
1 час назад, BigD сказал:

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Share this post


Link to post
Share on other sites
  • 0
В 04.09.2018 в 22:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

Share this post


Link to post
Share on other sites
  • 0

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, tvmaker сказал:

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Тему в развитии создавал, только большого отклика у комьюнити не заметил.

Если интересно, поддержите голосованием.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...