Повышение безопасности SSH в Debian (key / otp / 2fa)

Материал из Bas Wiki
Перейти к навигации Перейти к поиску

Рано или поздно возникает вопрос защиты удалённого доступа к серверу. В текущих реалиях Интернета недостаточно только одного рубежа защиты. По этой причине большинство системных администраторов используют несколько средств обеспечения безопасности. Вот небольшой список того, что можно предпринять, чтобы затруднить доступ к серверу:

  • Доступ по ключу. Наиболее популярная на текущий момент мера. Позволяет не вводить пароль к учётной записи. Из минусов: компрометация приватного ключа учётной записи (украли, передали).
  • Изменение порта. По умолчанию SSH - это 22 порт. Большое кол-во сканеров и ботов долбятся в этот порт. Позволяет скрыть сервис от перебора паролей. Как таковая смена номера порта не защищает, особенно если по серверу пройдутся сканером портов по полному диапазону.
  • Firewall. Жёстко и сурово. Доступ разрешается только для определённых адресов. Один из эффективных способов борьбы с несанкционированным доступом. Из минусов: слишком широкие диапазоны IP-адресов или IP-сетей сводят защиту на нет, а слишком короткие списки и диапазоны не позволят подключиться, например, от друзей или из другого города. Часто данный способ не подходит для внешних серверов, доступ к которым есть у большого количества человек из разных мест с динамическими диапазонами.
  • Port knocking. Разновидность защиты firewall, которая позволяет по определённым критериям и действиям разрешить доступ к SSH-порту. При слишком высокой настройке безопасности доступ будет невозможен без специализированного программного обеспечения.
Источник — https://wiki.gwtools.ru/index.php?title=Повышение_безопасности_SSH_в_Debian_(key_/_otp_/_2fa)&oldid=410