Обеспечение SSH-туннелирования, что нужно учитывать при настройке Ubuntu Server
Недавно я рассматривал, в основном, как проект для домашних животных, создание учетных записей для закрытой группы пользователей через SSH для моей коробки с целью SSH-туннелирования таких вещей, как веб-трафик - некоторые из них для друзей, которые живут за границей. и, возможно, также, чтобы помочь некоторым людям обойти национальную цензуру. Я предполагаю, что мне нужно кое-что сделать, например:
- Отключение доступа к оболочке путем установки оболочки на
/bin/falseили аналогичной. - Получите некоторое программное обеспечение, которое может отслеживать использование полосы пропускания для каждого пользователя исторически
- Убедитесь, что каждый пользователь может использовать только определенное количество полосы пропускания.
Причина, по которой я пишу здесь, для начала - осмотреться и получить некоторые подсказки относительно того, о каких вещах я должен прочитать, а также услышать, есть ли какие-либо рекомендации по программному обеспечению для того, что я делаю ». Я пытаюсь сделать. Я уже знаю немного, так как на самом деле я уже запустил и запускаю SSH, я просто не хочу отпускать его другим людям без ограничений и некоторого базового мониторинга.
Я в первую очередь пытаюсь учиться здесь, поэтому, если вы думаете, что это очень плохая идея (или если у вас есть лучшая идея о том, как это сделать), то обязательно скажите об этом, но, пожалуйста, включите некоторую информацию о том, как чтобы сделать это:)
(я также открыт для того, чтобы пробовать такие вещи, как OpenVPN, но это кажется очень сложным в настройке, также я слышал, что SSH чаще работает в закрытых средах)
1 ответ
Начните с настройки требуемой аутентификации по ключу и отключите использование паролей в sshd. Самая распространенная атака на ssh-демонов, подключенных к Интернету, - это атаки с использованием паролей. Самый простой способ противостоять такой атаке - отключить пароли для sshd.
Проверьте /etc/ssh/sshd_config следующие параметры:
PermitRootLogin no
PubkeyAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
Не забудьте перезапустить sshd: /etc/init.d/ssh restart.
При манипулировании с sshd_config с удаленной машины, убедитесь, что у вас есть дополнительный сеанс, вошедший в систему, на случай, если вы сделали опечатку, вы все равно можете получить доступ к серверу.
Также преимущество /usr/sbin/nologin вместо /bin/false состоит в том, что вы фактически получаете короткое сообщение от имени пользователя, что вход в среду оболочки запрещен. Не уверены, что вы все еще можете настроить туннели. Кстати, документация для OpenVPN2 довольно хорошая, и если вы можете работать через брандмауэры, вы, вероятно, тоже можете запустить OpenVPN2.
Посмотрите этот проект sslh, который позволяет вам запустить общий веб-сервер и ssh (или openvpn в этом отношении) на одном и том же порту! http://www.rutschle.net/tech/sslh Таким образом, вы можете «спрятать» свой ssh-сервер за надлежащим веб-сервером; o)
И последнее, но не менее важное: проверить proxytunnel , который позволяет вам запускать SSH через HTTPS, что обманывает еще больше брандмауэров.
Обратите внимание, что сотрудник службы безопасности может быть весьма удивлен, когда узнает, что вы используете эти инструменты (ssh через порт 80 или 443, proxytunnel, openvpn), чтобы пройти через корпоративный брандмауэр для доступа к неподдерживаемым Сервисы. Во многих компаниях вас могут уволить за это.