LINUX.ORG.RU

Безопасность таких конфигов ssh и fail2ban

 , , ,


1

2

sshd_config: http://pastebin.com/ydBgsuDY

fail2ban, jail.local: http://pastebin.com/H1PHmkay

Авторизация по длинному-длинному паролю. Насколько это безопасно? И ещё вопрос - можно ли в таком варианте подключаться к компу через незащищённую WiFi сеть (т.е. в которой могут быть злые люди)? Заранее спасибо.

★★

длинному-длинному паролю
fail2ban

Аж двойную яму себе вырыл, вместо того чтобы просто использовать ключи как любой белый человек.

entefeed ☆☆☆
()

ssh как бы шифруется.

snaf ★★★★★
()
Ответ на: комментарий от entefeed

Я не исключаю возможности того, что потребуется подключиться с любого случайного устройства.

Norong ★★
() автор топика

приступ маразма? ключи используй.

CHIPOK ★★★
()

А смысл кастомный порт ставить? Есть же AllowedUsers и fail2ban, так что переборщики не страшны, а вот удобства побольше. И да, ключи — это отлично.

Про WiFi — openssh использует коды аутентификации, так что MitM не страшен. По дефолту на свежих версиях используется, ЕМНИП, AES-128-CTR и HMAC-SHA1, что достаточно для большинства случаев. Если очень хочется, можешь явно задать шифры (типа AES-256).

lu4nik ★★★
()

Ключи для доверенных (относительно) машин (в каком-нибудь хранилище, типа gnome-keyring или keepass+plugins) и сильный пароль + fail2ban для остальных мест. Так что у тебя наполовину хорошо.

dhameoelin ★★★★★
()

HostKey /etc/ssh/ssh_host_dsa_key

нет, потому, что это dsа и ключ 1024

RSAAuthentication yes
ServerKeyBits 1024

нет, потому, что это только для sshv1 (ну и 1024 — это мало)

ChallengeResponseAuthentication yes

нет, потому, что надо ходить по ключам

TCPKeepAlive yes

нет, потому, что надо делать ClientAliveCountMax

Вообще, есть хорошая статья про безопасность ssh: https://stribika.github.io/2015/01/04/secure-secure-shell.html

ivlad ★★★★★
()

Если задаете такие вопросы, значит ваш сервер ломать не будет никто, поэтому сойдет. Про пользу ключей уже сказали не раз.

Amet13 ★★★★★
()
Ответ на: комментарий от lu4nik

А смысл кастомный порт ставить? Есть же AllowedUsers и fail2ban

Размер btmp

slowpony ★★★★★
()
Ответ на: комментарий от vasya_pupkin

Если эта флеха - токен, очень даже рулит.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.