J'exécute quelques serveurs depuis assez longtemps, mais je ne les ai toujours loués, donc je n'ai pas beaucoup d'expérience pour sécuriser le serveur réel (contrairement à l'application que j'exécute).
Maintenant, j'ai envie d'ouvrir mon petit serveur SSH domestique à Internet.
Je serai le seul à l'utiliser, mes mots de passe sont assez compliqués, j'ai changé le port SSH par défaut à environ 4000, le seul port accessible est ce port SSH via la redirection de port sur mon routeur / pare-feu, et il est mis à jour automatiquement tous les soirs (il exécute Arch Linux, une distribution de version continue).
Quelles sont les autres mesures à prendre, le cas échéant, pour garantir la sécurité?
Merci!
Assurez-vous que seul SSH-2 est autorisé (puisque SSH-1 a soulevé des problèmes de sécurité dans le passé):
Spécifiez quels sont les seuls utilisateurs autorisés à se connecter via SSH:
Pour une sécurité accrue, interdisez l'authentification par mot de passe et utilisez l'authentification par clé publique:
Remarque: ce didacticiel contient des instructions pour créer des clés et configurer l'authentification par clé publique.
la source
Outre les points concernant la désactivation de la connexion root ou l'utilisation de l'authentification par clé publique uniquement, je vérifierais également qu'aucun compte utilisateur sur le système n'a de mots de passe triviaux ou vides. Vous avez dit que vos mots de passe personnels sont corrects, mais cela n'exclut pas qu'un compte avec un mauvais mot de passe ait été créé pour une autre raison.
À titre d'exemple: j'ai dû réparer un réseau où l'administrateur précédent avait installé nagios sur tous ses systèmes à partir de la source, et créé un utilisateur nagios sans mot de passe, ou avec le mot de passe "nagios", puis j'ai procédé à l'obtention de trois machines différentes compromis.
la source
Vous voudrez peut-être regarder une sorte d'outil de liste noire IP comme http://denyhosts.sourceforge.net/ . Il bloque toutes les adresses IP qui tentent de se connecter trop souvent sans succès et est hautement configurable.
la source
Je vous suggère d'installer Fail2ban! http://www.fail2ban.org
Il interdit une IP après x tentatives infructueuses pendant y minutes, aidant à garder les scriptkiddies en échec;)
la source
Revues récurrentes des journaux sur les parties / composants pertinents de vos systèmes (en fonction de sa configuration réelle / spécifique) ...
la source