J'ai un petit réseau de serveurs et je voudrais augmenter la sécurité générale. Je n'ai pas assez de temps / d'argent / de paranoïa pour configurer un VPN - quel est le moyen de base pour augmenter la sécurité de mon système?
Une chose pourrait être d'exiger que les utilisateurs envoient leur clé et entrent un mot de passe. C'est un peu difficile à google car tout sur le "mot de passe clé ssh" concerne le battage sans mot de passe. :-)
Un schéma avec lequel j'ai toujours voulu jouer est d'exiger que les connexions entrantes ne proviennent que d'une liste blanche d'adresses IP dyndns. Je sais que certaines têtes de sécurité vomiraient à l'idée de l'idée, mais le fait est que cela ajouterait une complexité très importante à l'exploitation d'une boîte.
Qu'est-ce que tu penses? Quoi d'autre est là-bas?
Réponses:
La connexion avec mot de passe et clé est identique à "juste avec clé". Lors de la création de la clé, vous êtes invité à saisir la phrase secrète. Si vous le laissez vide, aucun mot de passe ne vous sera demandé. Si vous remplissez un mot de passe, il vous sera demandé à chaque fois que vous souhaitez vous connecter.
Si vous êtes préoccupé par la sécurité, considérez certains de ces conseils mentionnés mille milliards de fois dans ce forum:
Etc.
Mise à jour: veuillez vous référer à la réponse ici pour savoir comment exiger à la fois une clé publique et un mot de passe système local avec un serveur OpenSSH.
la source
Une idée que j'ai trouvée intéressante est la suppression de port - en gros, pour établir la connexion ssh, vous devez d'abord sonder une séquence d'autres ports, avant que le serveur ssh accuse réception d'une demande de connexion. Si la séquence correcte de ports n'est pas utilisée, il n'y a pas de réponse, il semble donc qu'aucun serveur ssh ne soit en cours d'exécution. La séquence de ports est personnalisable et peut être partagée avec vos utilisateurs prévus; tout le monde serait effectivement incapable de se connecter.
Je n'ai pas essayé cela moi-même, mais d'après ce que j'ai entendu (ce qui n'est pas grand-chose en fait), les frais généraux sont négligeables et réduisent considérablement votre profil de visibilité.
la source
Correctifs liés à l'activation directe dans SSH et beaucoup de discussions pertinentes:
Cela peut également être fait sans modification en combinant un script de vérification de mot de passe avec l'utilisation de l'
ForceCommand
option de configuration.Enfin, bien qu'aucun module n'existe pour cela, si vous avez déplacé l'authentification par clé publique vers PAM, vous pourrez exiger que les deux étapes passent avant que PAM ne considère l'authentification comme réussie.
la source
Utilisez simplement
dans
sshd_config
si vous utilisez sshd de ssh.com. Cette fonctionnalité n'est pas disponible dans OpenSSH.la source
RequiredAuthentications
est définitivement une extension non standard d'OpenSSHVous pouvez également utiliser des mots de passe à usage unique pour augmenter la sécurité. Cela permettrait aux utilisateurs de se connecter à partir d'un terminal non sécurisé, qui peut avoir un enregistreur de frappe, s'ils avaient précédemment généré le prochain mot de passe. Il existe également des générateurs de mots de passe qui peuvent être installés même sur les anciens téléphones Java MIDP, que vous emportez avec vous tout le temps.
la source
Je recommanderais de ne jamais exécuter un sshd, rdp ou de tels services de gestion sans restriction IP. En fait, je suggère de limiter l'accès à ces services aux administrateurs qui se connectent via VPN.
la source
En ce qui concerne votre question initiale sur la nécessité à la fois d'une clé et d'un mot de passe, si vous utilisez RHEL ou CentOS 6.3, cela est désormais possible. Les notes de version de RHEL 6.3 le décrivent, il s'agit d'ajouter ceci à votre sshd_config
la source
Je suis fortement d'accord avec 3molo. OpenSSH est le serveur SSH par défaut de Linux et Unix. Il n'y a aucune raison pour que nous le changions, en particulier pour des raisons de sécurité. Le VPN devrait être la meilleure solution, qui peut crypter notre trafic et fournir l'autorisation de mot de passe en 2 étapes.
la source
Vous ne savez pas pourquoi personne ne l'a mentionné, mais - vous devez vous assurer de générer les clés plus longtemps que 1024 bits par défaut, ce qui n'est plus considéré comme sécurisé.
la source