Início / computer / Perguntas / 1698188
Accepted
Celeste aka. 73chn0
Asked: 2022-01-09 10:27:22 +0800 CST

Quão seguro é o login do openSSH?

  • 772

Estou usando vários RPi's no meu roteador, que têm encaminhamento de porta para a porta 22 para a Internet maligna. Quando eu me conecto ao RPi usando openSSH (Powershell: ssh username@ip-adress -p 12345) ele solicita uma senha para o usuário framboesa.

A senha contém letras minúsculas e maiúsculas, números e símbolos e tem mais de 15 caracteres.

Pergunta:

Quão seguro é esse método de login e, se for ruim, como posso protegê-lo da maneira certa?

O RPi tem acesso total a todos os dispositivos de rede em minha casa, incluindo unidades com dados confidenciais. Por isso é muito importante estar seguro.

ssh networking

2 respostas

  1. Best Answer

    Isso é moderadamente seguro, mas você pode fazer muito melhor. Os limites de sua solução atual incluem exigir vigilância para proteger contra ataques mitm, uma única camada de proteção e exposição de que você está executando vários alvos ssh atrás de sua caixa. Sua segurança também é limitada à força de sua senha - embora isso pareça bom na superfície, há muitas senhas longas e vulneráveis ​​e, se sua senha for comprometida por qualquer meio, o jogo acaba.

    Se você migrar do uso de uma senha para uma configuração baseada em chave e usar uma senha/frase de acesso para proteger sua chave privada, você terá uma configuração mais segura.

    Se você quiser aumentar ainda mais a segurança, o "padrão ouro" seria executar uma VPN em seu roteador e fazer login pela VPN (novamente com um sistema de chave pública/privada ou compartilhada) antes de fazer login no ssh no VPN. Isso eliminaria o encaminhamento de porta e a publicidade que o ssh está executando para o mundo todo, fornecendo uma camada extra de proteção.

    Adicionar um firewall que permite apenas conexões de rfc1918 (endereços privados - portanto, na VPN) fornecerá outra camada de segurança e reduzirá ainda mais o risco de ataques mitm.

    Eu comentaria que usar a porta 12345 sobre a porta 22 fornece apenas proteção mínima - qualquer porta que escaneie seu IP poderá descobrir que você tem várias instâncias de openssh expostas.

    • 1

  2. Em uma configuração como a sua, isso geralmente é tão seguro quanto a máquina de conexão.

    É aqui que suas credenciais são inseridas e armazenadas e é aqui que elas podem ser roubadas.

    Fora isso, as vulnerabilidades exploráveis ​​​​remotamente do OpenSSH são raras e rapidamente corrigidas. Certifique-se de não usar versões desatualizadas em ambos os lados.

    Dependendo das apostas, você pode querer melhorar o seguinte:

    1. Use a autenticação de chave pública ou de 2 fatores (chave pública + senha).
    2. Use a chave pública armazenada em um token de hardware (especialmente bom porque a maioria das máquinas Windows pode ser considerada com segurança como "pwned".
    3. Use uma máquina dedicada (não Windows) para fazer login.
    4. Configure algum feedback (por exemplo, um e-mail sempre que alguém fizer login no seu Pi)
    5. Assine a lista de discussão que distribui os avisos de segurança do openssh e aja rapidamente quando um for emitido.
    6. Configure uma VPN para o seu roteador. Esteja ciente de que uma VPN mal configurada pode ser um vetor de ataque.
    • Use seu roteador (se o ssh estiver disponível nele) como um host de salto e use o redirecionamento de porta ssh em vez de um NAT de destino.
    1. Use técnicas de batida de porta. Ajuda a manter os logs limpos, mas pode sair pela culatra por não conseguir fazer login devido à filtragem inesperada de portas em sua conexão com a Internet.

    Esteja avisado de que, faça o que fizer, suas portas ssh serão eventualmente encontradas pelos inúmeros bots que coletam a Internet e serão constantemente atacadas com tentativas de login. Se o seu Pi registrar todos eles, você obterá longos logs cheios dessas tentativas que podem preencher o espaço disponível.

    • 0

relate perguntas