우선, 이것이 이 문제를 해결하는 데 적합한 교환 사이트인지는 확실하지 않지만 더 나은 사이트를 찾을 수 없으므로 어쨌든 여기에 질문하겠습니다.
최근에 나는 생각하기 시작했다.SSH 보안. 나는우분투 가상 머신(또는 다른 Linux 배포판)은 SSH를 통해 연결할 수 있는 서버에서 실행됩니다. 원격 컴퓨터 보호를 시작하기 위해 다음을 사용하기 시작했습니다.공개 키/개인 키인증에 사용됩니다.
더 나아가서 생각해보니루트 로그인 비활성화- 24자 길이의 생성된 비밀번호가 있습니다.
지금 내 질문은 다음과 같습니다.
- 이와 같은 비밀번호를 사용하여 루트 로그인을 비활성화해야 합니까?
- 이 정도면 원격 컴퓨터의 보안을 유지하기에 충분합니까? 그렇지 않다면;
- 원격 컴퓨터를 보호하려면 어떤 다른 조치를 취해야 합니까?
답변1
이 정도면 원격 컴퓨터의 보안을 유지하기에 충분합니까?
이것은 잘못된 질문입니다. 절대적인 안전은 없으며 안전은 항상 상대적입니다.
"충분히 안전"합니까? 어쩌면 "충분히 안전하다"고 하더라도 보안을 더 강화하는 것은 어떨까요?
원격 컴퓨터를 보호하려면 어떤 다른 조치를 취해야 합니까?
비밀번호 로그인을 완전히 비활성화하면 신경 쓸 필요가 없습니다. 비록 24개의 임의의 문자가 비밀번호로 적합하더라도 여전히 키 기반 인증보다 훨씬 덜 안전합니다.
비표준 포트를 사용하십시오. 이는 표적 공격에는 도움이 되지 않지만 무작위/자동 공격을 99% 이상 제거합니다. 비밀번호가 정확하고 공격이 "실질적인 피해"를 일으키지 않더라도 로그 파일에 스팸이 전송되므로 실제 문제를 놓칠 수 있습니다.
포트 노킹을 사용하세요.
사용
fail2ban
. 이렇게 하면 공격이 더 어려워지지만 공격은 종종 여러 IP를 가진 봇넷에서 발생하므로 영향은 여전히 제한적입니다.사용자 권한을 필요한 최소한으로 제한하십시오.
가능하다면 방화벽을 사용하여 IP(범위)별로 연결을 제한하세요.
고려 사항: 서버의 보안은 단순한 것 이상입니다
ssh
. 인터넷에 노출된 모든 서비스는 취약할 수 있으므로 취할 수 있는 몇 가지 조치가 있습니다.- 권한이 없는 다른 사용자가 각 서비스를 실행하도록 하세요.
- 컨테이너/가상 머신을 사용하여 프로세스를 분리하세요.
- 방화벽을 사용하여 서비스에 필요한 포트에만 액세스를 허용하세요.
- 모든 소프트웨어를 항상 최신 상태로 유지하십시오.
- 사용 중인 소프트웨어에 대한 보안 권고를 따르십시오.
확인하다Security SE에 대한 유사한 질문과 답변더 많은 정보를 알고 싶습니다.