Является ли узел начальной загрузки juju единственной точкой отказа?
Мой подход к упрощению SSH ... сложный. Следующие пункты относятся к тому, как я это делаю, от самой граничной границы моей сети (ов) до самих серверов.
Фильтрация трафика на уровне границ через IDS / IPS с известными сервисными сканерами и подписи в списке блокировок. Я достигаю этого с помощью Snort через мой пограничный брандмауэр (это мой подход, устройство pfSense). Иногда я не могу этого сделать, например, с помощью моих VPS. Брандмауэр / Сетевая фильтрация портов (ов) SSH. Я явно разрешаю некоторым системам доступ к моим серверам SSH. Это делается либо через брандмауэр pfSense на границе моей сети, либо брандмауэры на каждом сервере, явно настроенные. Бывают случаи, когда я не могу этого сделать, хотя это почти никогда не происходит, за исключением частных лабораторий проверки подлинности или тестирования безопасности, где брандмауэры не помогут проверить вещи). В сочетании с моим pfSense или пограничным брандмауэром NAT-внутренней внутренней сетью и отделением от Интернета и систем, VPN-Only Access to Servers. Gotta VPN в мои сети, чтобы добраться до серверов, потому что нет портов, ориентированных на Интернет как таковых. Это определенно не работает для всех моих VPS, но в сочетании с # 2 я могу иметь один VPS-шлюз через VPN-соединение на этом сервере, а затем разрешить его IP-адрес для других ящиков. Таким образом, я точно знаю, что может или не может SSH в моей моей коробке, которая является VPN. (Или, в моей домашней сети за pfSense, мое VPN-соединение, и я единственный, у кого есть доступ к VPN). Там, где # 3 не выполнимо, fail2ban, настроенный на блокировку после 4 неудачных попыток и блокирования IP-адресов в течение часа или более, является достойной защитой от людей, постоянно атакующих с помощью bruteforcing - просто блокируйте их на брандмауэре автоматически с помощью fail2ban и meh. Настройка fail2ban - это боль, хотя ... Обфускация портов путем изменения SSH-порта. Однако это не является хорошей идеей обойтись без каких-либо дополнительных мер безопасности, а мантра «Безопасность через Obscurity» уже была опровергнута и оспаривается во многих случаях. Я сделал это в сочетании с IDS / IPS и сетевой фильтрацией, но это все еще очень плохо для себя. ОБЯЗАТЕЛЬНАЯ двухфакторная аутентификация с помощью двухфакторной аутентификации Duo Security. На каждом из моих SSH-серверов есть Duo, настроенный на нем, так что для того, чтобы даже войти, появляются подсказки 2FA, и я должен подтвердить каждый доступ. (Это самая полезная функция - потому что даже если у кого-то есть кодовая фраза или перерывы, они не могут пройти через плагины Duo PAM). Это одна из самых больших защит на моих серверах SSH от несанкционированного доступа - каждый пользовательский логин ДОЛЖЕН привязываться к настроенному пользователю в Duo, и поскольку у меня есть ограничительный набор, в системе не могут быть зарегистрированы новые пользователи.Мои двухценты для обеспечения SSH. Или, по крайней мере, мои мысли о подходе.
1
задан user251910
26 February 2014 в 03:25
поделиться