SSH-etäyhteys avaintunnistuksella

Tietokonejutut, pelit ja muu nörtismi; autot, kaasupullot ja muut lelut
Avatar
KKK
Kitisijä
Viestit: 2447
Liittynyt: 26.10.2012 19:48
Paikkakunta: Joo

SSH-etäyhteys avaintunnistuksella

Viesti Kirjoittaja KKK »

Uskaltauduin avaamaan purkkini isoon pahaan internetiin päin SSH-etähuoltoja varten. Salausavain on, kt/pass -tunnistautuminen on disabloitu, eli tämän pitäisi olla murtamaton. Luonnollisestikaan en käytä vakioporttia 22 vaan jotain aivan muuta random-numeroa.

Onko palstan it-osaajilla tietoa riittääkö tämä, vai olisiko tuohon pitänyt lisätä vielä vpn-putki tms?
Amazing shit happens!
Avatar
James Potkukelkka
Kitisijä
Viestit: 25471
Liittynyt: 23.01.2014 9:59

Re: SSH-etäyhteys avaintunnistuksella

Viesti Kirjoittaja James Potkukelkka »

olen voimakas oikeudenmukaisuuden kannattaja
Avatar
aasi
Kitisijä
Viestit: 6685
Liittynyt: 01.07.2005 21:12
Paikkakunta: Uleåborg

Re: SSH-etäyhteys avaintunnistuksella

Viesti Kirjoittaja aasi »

KKK kirjoitti:Uskaltauduin avaamaan purkkini isoon pahaan internetiin päin SSH-etähuoltoja varten. Salausavain on, kt/pass -tunnistautuminen on disabloitu, eli tämän pitäisi olla murtamaton. Luonnollisestikaan en käytä vakioporttia 22 vaan jotain aivan muuta random-numeroa.

Onko palstan it-osaajilla tietoa riittääkö tämä, vai olisiko tuohon pitänyt lisätä vielä vpn-putki tms?
Todennäköisesti riittäisi vaikka se olisikin ihan normaaliportissa ja pelkällä salasana-autentikaatiolla, jos nyt ei mitään "password123":sta käytetä salasanana. Random-yläportin käyttö lähinnä vain vähentää logipaskaa kiinalaisten kolkutteluista.

Olettaen että itse ssh-palvelimesta ei löydy reikää. Jos löytyy, niin siinä tapauksessa VPN:istä ja ip-rajauksista olisi jo iloa, etenkin jos on leväperäinen päivitysten suhteen. Yrityksissä nuo VPN:t ja ip-rajaukset ovat merkittävämmässä asemassa kun soppaa on hämmentämässä usein useampi kokki, kaikkien tietoturvahygieniasta ei voi olla täysin varma, ja kaivataan vähän syvyyttä puolustukseen.
Tasan ei mene muumit kanootissa.
Avatar
KKK
Kitisijä
Viestit: 2447
Liittynyt: 26.10.2012 19:48
Paikkakunta: Joo

Re: SSH-etäyhteys avaintunnistuksella

Viesti Kirjoittaja KKK »

Tällä hetkellä ei ole mahd käyttää vpn+ssh-yhdistelmää tässä, mutta täytyypä tarkastaa tuo versio. Ainakaan toistaiseksi ei ole logeihin ilmestynyt outoja loggautumisyrityksiä, eikä ainoa toimia ssh-username omaa superuser-oikeuksia sekään, ne pitää antaa passulla erikseen.

Sitä vaan alkaa vanhemmiten tulla vainoharhaiseksi. Suljin jo kaikki "ihan-kiva" tasoiset jutut reitittimen portfwd:stä. Käytettävyys saa hieman kärsiä tietoturvan vuoksi. Nyt nassen kaikki muu liikenne menee vpn-putken kautta. Jos oikein alkaa foliohatuttaa niin ssl vpn:n päälle ja vpn-liikenne vielä lisäksi proxyn kautta :D
Amazing shit happens!
Vastaa Viestiin