SSH сервер - безопасность

[BigD]

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу.

Понятно, что lockout policy сразу выставил по максимуму - 4 60 10.

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

По ключу вместо пароля нельзя аутентифицироваться?

На что влияет выбор  ssh security-level? Нигде не нашел этой информации.

 

•  

Версия 2.12.A.4.0-0:

• добавлен компонент SSH-сервер
  
  
   
  • service ssh — запуск сервиса
  • ip ssh port {port} — поменять порт, по умолчанию 22
  • ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private
  • ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей
    • threshold — количество попыток перебора, от 4 до 20, по умолчанию 5
    • duration — время блокировки, от 1 до 60 минут, по умолчанию 15
    • observation-window — окно от 1 до 10 минут, по умолчанию 3
  • ip ssh keygen (default | ...) — регенерация ключа заданного типа
  • show ssh fingerprint — показать отпечатки текущих ключей

Изменено 3 сентября, 2018 пользователем BigD

[r13]

  В 03.09.2018 в 18:52, BigD сказал:

Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий?

Показать  

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

[BigD]

  В 03.09.2018 в 18:55, r13 сказал:

Только под тем у которого есть тег cli

У admin к сожалению его отобрать нельзя.

Показать  

блин, ну это такая дыра получается..

[r13]

  В 03.09.2018 в 18:52, BigD сказал:

На что влияет выбор  ssh security-level? Нигде не нашел этой информации. 

Показать  

Смотрит ли сервер наружу или нет

[r13]

  В 03.09.2018 в 18:52, BigD сказал:

По ключу вместо пароля нельзя аутентифицироваться?

Показать  

Ключей пока нет, только логин.пароль

[BigD]

  В 03.09.2018 в 18:57, r13 сказал:

Смотрит ли сервер наружу или нет

Показать  

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

[r13]

  В 03.09.2018 в 18:56, BigD сказал:

блин, ну это такая дыра получается..

Показать  

Поэтому у меня наружу только vpn.

[BigD]

  В 03.09.2018 в 18:58, r13 сказал:

Поэтому у меня наружу только vpn.

Показать  

Логично, но мне нужен ssh именно как альтернатива VPN (с работы работает и т.д.)

[BigD]

@Le ecureuil - подскажите плиз, что тут можно сделать?

[r13]

  В 03.09.2018 в 18:58, BigD сказал:

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

Показать  

Это все типы сегментов кинетика

public - доступ снаружи

private/protected - внутренние сегменты(По дефолту Home/Guest)

 

[BigD]

  В 03.09.2018 в 18:57, r13 сказал:

Ключей пока нет, только логин.пароль

Показать  

А какова максимальная длина пароля? Чтобы он и в веб пускал админа.

[Le ecureuil]

  В 03.09.2018 в 19:02, BigD сказал:

@Le ecureuil - подскажите плиз, что тут можно сделать?

Показать  

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Потому что точно такой же перебор можно и на VPN устроить.

[BigD]

  В 04.09.2018 в 16:09, Le ecureuil сказал:

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет.

Показать  

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Изменено 4 сентября, 2018 пользователем BigD

[Le ecureuil]

  В 04.09.2018 в 16:43, BigD сказал:

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

Показать  

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

[naileddeath]

  В 04.09.2018 в 18:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Показать  

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

[Le ecureuil]

Сторонние сервисы не поддерживаются.

[tvmaker]

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

[ankar84]

  В 04.02.2019 в 20:17, tvmaker сказал:

А можно ли настроить доступ ssh по ключу к dropbear? Имеется небольшой сервачок в локалке, хочу, чтоб он имел доступ к внешним скриптам. Где хранить сгенерированный ключ и увидит ли его dropbear? Спасибо.

Показать  

Тему в развитии создавал, только большого отклика у комьюнити не заметил.

Если интересно, поддержите голосованием.