NinjaCat Asked: 2013-08-09 11:30:47 +0800 CST2013-08-09 11:30:47 +0800 CST 2013-08-09 11:30:47 +0800 CST 保护 SSH 以进行跨站点访问 772 我们有 2 台服务器,每台位于不同的地理位置,我们正在考虑使用 rsync 脚本来保持某些文件夹同步。我们的设置禁用 root 登录和密码登录,并依赖于密钥文件。 我们在端口 22X 上运行 SSH(只是为了尽量减少登录尝试,而不是通过默默无闻的安全方式)。 如果我们设置端口转发使端口 XYZ 转发到 22X,并禁用密码登录,我们应该采取哪些其他措施来防止由于开放端口而发生的任何恶意活动? 我的想法是,只要我们保证密钥安全,就不会有问题。我错过了什么吗? ssh 1 个回答 Voted Best Answer dawud 2013-08-09T11:53:49+08:002013-08-09T11:53:49+08:00 关于sshd服务的安全性,这些是您可以实施的一些额外措施,没有特别的顺序: 如果sshd预计此守护程序仅在这两个对等方之间使用,则iptables根据源 IP 地址限制对端口 22X 的访问的规则。 tcpwappersACL 。 fail2ban可以为两者动态添加规则iptables并/etc/hosts.allow减轻暴力攻击。 配置端口敲门。fwknop在某些发行版中可用。 根据openssh您使用的版本和分布,您可以设置双因素身份验证,kerberos例如使用。 您是否已经使用强制访问控制 KSM(SELinux、apparmor、...)? 定期更新您的密钥。 看看monkeysphere项目。它们提供了一种将 GPG 验证添加到授权密钥的好方法。
关于
sshd服务的安全性,这些是您可以实施的一些额外措施,没有特别的顺序:sshd预计此守护程序仅在这两个对等方之间使用,则iptables根据源 IP 地址限制对端口 22X 的访问的规则。tcpwappersACL 。fail2ban可以为两者动态添加规则iptables并/etc/hosts.allow减轻暴力攻击。fwknop在某些发行版中可用。openssh您使用的版本和分布,您可以设置双因素身份验证,kerberos例如使用。