Como é arriscado para executar um servidor doméstico seguro por trás SSH?

Vídeo: Como é arriscado para executar um servidor doméstico seguro por trás SSH?

Vídeo: 11 Dicas e Truques pra você arrasar nos iPads! - YouTube 2024, Abril

2024 Autor: Geoffrey Carr | [email protected]. Última modificação: 2023-12-17 10:54

Quando você precisa abrir algo em sua rede doméstica para a internet maior, um túnel SSH é seguro o suficiente para fazê-lo?

A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser, uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade.

A questão

Leitor de SuperUser Alfred M. quer saber se ele está no caminho certo com segurança de conexão:


I have recently set up a small server with a low end computer running debian with the aim to use it as a personal git repository. I have enabled ssh and was quite surprised at the promptness at which it suffered from brute force attacks and the like. Then I read that this is quite common and learned about basic security measures to ward off these attacks (lots of questions and duplicates on serverfault deal with it, see for instance this one or this one).
But now I am wondering if all this is worth the effort. I decided to set up my own server mostly for fun: I could just rely on third party solutions such as those offered by gitbucket.org, bettercodes.org, etc. While part of the fun is about learning about Internet security, I have not enough time to dedicate to it to become an expert and be almost certain that I took the correct prevention measures.







In order to decide if I will continue to play with this toy project, I would like to know what I really risk in doing so. For instance, in what extent are the other computers connected to my network threaten as well? Some of these computer are used by people with even lesser knowledge than mine running Windows.
What is the probability that I get into real trouble if I follow basic guidelines such as strong password, disabled root access for ssh, non standard port for ssh and possibly disabling password login and using one of fail2ban, denyhosts or iptables rules?
Put another way, is there some big bad wolves I should fear or is it all mostly about shooing away script kiddies?

O Alfred deve se ater a soluções de terceiros ou sua solução DIY é segura?

A resposta

Colaborador do SuperUser TheFiddlerWins garante a Alfred que é bastante seguro:


IMO SSH is one of the safest things to have listen on the open internet. If you’re really concerned have it listen on a non-standard high end port. I’d still have a (device level) firewall between your box and the actual Internet and just use port forwarding for SSH but that’s a precaution against other services. SSH itself is pretty damn solid.







I have had people hit my home SSH server occasionally (open to Time Warner Cable). Never had an actual impact.

Outro colaborador, Stephane, destaca como é fácil proteger ainda mais o SSH:


Setting up a public key authentication system with SSH is really trivial and takes about 5 minutes to setup.
If you force all SSH connection to use it, then it’ll make your system pretty much as resilient as you can hope to without investing a LOT into security infrastructure. Frankly, it’s so simple and effective (as long as you don’t have 200 accounts – then it gets messy) that not using it should be a public offense.

Finalmente, Craig Watson oferece outra dica para minimizar as tentativas de invasão:


I also run a personal git server that’s open to the world on SSH, and I also have the same brute-force issues as you, so I can sympathise with your situation.
TheFiddlerWins has already addresses the main security implications of having SSH open on a publicly-accessible IP, but best tool IMO in response to brute-force attempts is Fail2Ban – software that monitors your authentication log files, detects intrusion attempts and adds firewall rules to the machine’s local








iptables

firewall. Você pode configurar quantas tentativas antes de uma proibição e também a duração da proibição (meu padrão é 10 dias).
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.










Recomendado:

Como configurar um servidor de mídia doméstico que você pode acessar de qualquer dispositivo




Servidores de mídia local ficaram fora de moda. A Microsoft não cria mais o Windows Home Server e está desativando o Windows Media Center. Mas ainda há ótimas soluções se você quiser executar um servidor de mídia doméstico e transmitir para todos os seus dispositivos.
Como criar um inventário doméstico para fins de seguro




Se a sua casa entrar em colapso ou - Deus me livre - pegar fogo, você vai querer um inventário de todas as suas coisas, para que sua companhia de seguros possa compensá-lo pelos itens perdidos. Aqui estão algumas maneiras diferentes de criar esse inventário.
Por que meu navegador diz que um site seguro não é totalmente seguro?




Com todo o problema que se pode encontrar na Internet, é sempre uma boa ideia ter uma conexão o mais segura possível. Mas o que você faz quando o seu navegador diz que um site seguro não é totalmente seguro? A postagem de perguntas e respostas do Superusuário de hoje tem a resposta para a pergunta do leitor preocupado.
Livros que adoramos: cozinhar para geeks ensina a ciência por trás da culinária




Não fazemos muitas resenhas de livros por aqui, mas depois de comprar este livro e lê-lo, não havia como deixar de compartilhá-lo com você, os leitores nerds. Mesmo se você não cozinhar, você definitivamente come, e você é um geek, certo? Leia!
Como escolher o que fazer backup em seu servidor doméstico Linux




Se você tiver um servidor doméstico com tecnologia Linux, provavelmente fará upgrade de seu sistema de vez em quando. Aqui estão alguns arquivos importantes para fazer backup e alguns utilitários alternativos que ajudarão você a começar a trabalhar rapidamente.