인터넷에 SSH 서버를 처음 열 때 확인할 사항

상대적으로 오랜 시간 동안 몇 대의 서버를 실행했지만 항상 서버를 임대 했으므로 실제 서버 보안에 대한 경험이 많지 않습니다 (실행중인 응용 프로그램과 달리).

이제 작은 홈 SSH 서버를 인터넷에 열어보고 싶습니다.

나는 그것을 사용하는 유일한 사람이 될 것이며, 암호는 충분히 복잡합니다. 기본 SSH 포트를 4000 정도로 변경했습니다. 액세스 가능한 포트는 라우터 / 방화벽의 포트 전달을 통해이 SSH 포트입니다. 매일 밤마다 자동으로 배포됩니다.

보안을 유지하기 위해해야 ​​할 일이 있다면 무엇입니까?

감사!

루트 로그인이 비활성화되어 있는지 확인하십시오 PermitRootLogin no. 또한 암호를 모두 비활성화 PasswordAuthentication no하고 공개 키를 사용하는 것이 좋습니다 PubkeyAuthentication yes.

SSH-2 만 허용해야합니다 (SSH-1이 과거에 일부 보안 문제 를 제기 했으므로 ).

Protocol 2

SSH를 통해 로그인 할 수있는 유일한 사용자를 지정하십시오.

AllowUsers bob, john

보안 강화를 위해 비밀번호 인증을 허용하지 않고 공개 키 인증을 사용하십시오.

PasswordAuthentication no
PubkeyAuthentication yes

참고 : 이 학습서 에는 키 작성 및 공개 키 인증 구성에 대한 지시 사항 이 포함되어 있습니다.

루트 로그인을 비활성화하거나 공개 키 인증 만 사용하는 것 외에도 시스템에 사소하거나 비어있는 암호가있는 사용자 계정이 없는지 다시 확인합니다. 귀하는 귀하의 개인 비밀번호는 괜찮다고 말했지만 다른 이유로 인해 비밀번호가 잘못된 계정을 배제하지는 않습니다.

예를 들어 : 이전 관리자가 소스의 모든 시스템에 nagios를 설치하고 암호 나 "nagios"가없는 nagios 사용자를 만든 다음 세 개의 다른 컴퓨터를 얻는 네트워크 하나를 수정해야했습니다. 타협.

http://denyhosts.sourceforge.net/ 과 같은 일종의 IP 블랙리스트 도구를보고 싶을 수도 있습니다 . 로그인에 실패한 횟수가 너무 많고 구성 가능한 IP를 차단합니다.

Fail2ban을 설치하는 것이 좋습니다! http://www.fail2ban.org

x가 y 분 동안 시도에 실패한 후 IP를 차단하여 스크립트를 계속 확인하도록합니다.)

실제 / 특정 구성에 따라 시스템의 관련 부분 / 구성 요소에서 로그 검토가 반복됩니다 ...