어디에서나 연결할 수 있도록 인터넷에 SSHD로 열기 전에 Linux 데스크탑을 적절하게 보호하려면 어떤 조치를 취해야 합니까?
답변1
원격 SSH 로그인에는 비밀번호 대신 RSA 키를 사용하는 것이 좋습니다.
둘째, 설치해야합니다2Ban 실패또는 무차별 대입 시도를 차단하는 것과 같은 것입니다(SSH 액세스에 대한 RSA 공개/개인 키 인증을 위해 비밀번호 인증을 다시 비활성화하면 이것이 문제가 될 수 있습니다).
셋째, SSH를 통해 루트가 연결되는 것을 방지할 수 있습니다. 이렇게 하고 sudo연결한 후에 사용하는 것이 좋습니다.
나머지는... 음, SSH는 본질적으로 대부분의 것보다 더 안전하지만 인터넷을 통해 서비스를 제공할 때는 모든 일반적인 예방 조치가 적용됩니다.
답변2
SSH 서버가 최신인지 확인하세요. OpenSSH는 우수한 보안 기록을 가지고 있지만 여러분은 그것을 원하지 않습니다.
허가가 필요한지 신중하게 고려하세요비밀번호 인증. 일반적으로 신뢰할 수 있는 컴퓨터에서만 로그인해야 하며(키로거를 실행할 수 있는 컴퓨터에서는 비밀번호를 입력하지 마십시오), 이러한 신뢰할 수 있는 컴퓨터는 일반적으로 사용자가 제어하고 SSH 개인 키를 보유합니다. 따라서 대부분의 경우 비밀번호 확인은 쓸모가 없으며장애를 입히다그것. 비밀번호 인증을 금지하는 주된 이유는 사용자가 비밀번호를 잘 관리하지 못하기 때문입니다. 즉, 비밀번호를 재사용하고(그래서 비밀번호가 손상됨) 추측하기 어려운 비밀번호를 선택하는 데 능숙하지 않기 때문입니다(그래서 비밀번호는 무차별 공격입니다). 귀하가 컴퓨터의 유일한 사용자이고 비밀번호가 강력하고 다른 곳에서는 사용하지 않으며 추측하기 쉬운 테스트 계정 비밀번호가 없고 앞으로도 없을 경우 계정을 개설할 수 없습니다. 친구의 경우 비밀번호 확인을 허용하세요.
SSH를 통해 로그인할 수 있는 사용자 집합을 제한할 수 있습니다. 특히, 중저 수준의 정교한 공격자를 상대하는 경우 루트 로그인을 비활성화하면 공격 속도가 느려질 수 있습니다. 그러나 그것은 큰 문제가 아닙니다. 사용자 계정에서 루트로 업그레이드하는 것이 가장 어려운 부분은 아닙니다.
가능하다면 별도의 컴퓨터나 읽기 전용 미디어에 로그를 저장하세요. 추측된 비밀번호를 사용하여 무차별 대입 시도를 수행하는 봇이 많이 있다는 점에 유의하십시오.약한 결합. 이러한 봇은 적절한 보안 설정(강력한 비밀번호, 낮은 엔트로피 키 없음)을 사용하여 공격적이지는 않지만 로그 항목을 생성할 수 있습니다. 이러한 무차별 대입 시도를 대부분 제거하는 한 가지 방법은 기본이 아닌 포트에서 ssh를 실행하는 것입니다. 이는 로그 볼륨을 줄이는 한 가지 방법일 뿐이며(프로브 트래픽을 약간 줄일 수 있음) 그 자체로는 추가 보안을 제공하지 않습니다.
당신은 또한 볼 수 있습니다Security Stack Exchange에 대한 비슷한 질문.
답변3
잘 읽어보세요Linux 서버 강화보안 스택 교환에 관한 질문입니다. 여기에는 취약한 서비스를 종료하고 불필요하고 쓸모 없는 서비스를 제거하는 내용이 포함됩니다.
답변4
SSH 연결 속도 제한그리고 SSH 구성을 더욱 강화하려면 기사에 언급된 링크를 따르십시오. 또한 sshd가 프로토콜 2만 사용하도록 제한하여 ssh를 통한 직접 루트 로그인을 금지합니다.
귀하의 계정만 로그인이 허용됩니다. 비밀번호 확인을 비활성화합니다. 포트 22를 사용하지 마십시오. 개인 키의 비밀번호를 사용하세요.