Uskaltauduin avaamaan purkkini isoon pahaan internetiin päin SSH-etähuoltoja varten. Salausavain on, kt/pass -tunnistautuminen on disabloitu, eli tämän pitäisi olla murtamaton. Luonnollisestikaan en käytä vakioporttia 22 vaan jotain aivan muuta random-numeroa.
Onko palstan it-osaajilla tietoa riittääkö tämä, vai olisiko tuohon pitänyt lisätä vielä vpn-putki tms?
SSH-etäyhteys avaintunnistuksella
-
James Potkukelkka
- Kitisijä
- Viestit: 32477
- Liittynyt: 23.01.2014 9:59
Re: SSH-etäyhteys avaintunnistuksella
Ei vertaistasi sulle, sä lilja Saaronin. Suo armos lahjat mulle ja kaste Siionin
-
aasi
- Kitisijä
- Viestit: 6837
- Liittynyt: 01.07.2005 21:12
- Paikkakunta: Uleåborg
Re: SSH-etäyhteys avaintunnistuksella
Todennäköisesti riittäisi vaikka se olisikin ihan normaaliportissa ja pelkällä salasana-autentikaatiolla, jos nyt ei mitään "password123":sta käytetä salasanana. Random-yläportin käyttö lähinnä vain vähentää logipaskaa kiinalaisten kolkutteluista.KKK kirjoitti:Uskaltauduin avaamaan purkkini isoon pahaan internetiin päin SSH-etähuoltoja varten. Salausavain on, kt/pass -tunnistautuminen on disabloitu, eli tämän pitäisi olla murtamaton. Luonnollisestikaan en käytä vakioporttia 22 vaan jotain aivan muuta random-numeroa.
Onko palstan it-osaajilla tietoa riittääkö tämä, vai olisiko tuohon pitänyt lisätä vielä vpn-putki tms?
Olettaen että itse ssh-palvelimesta ei löydy reikää. Jos löytyy, niin siinä tapauksessa VPN:istä ja ip-rajauksista olisi jo iloa, etenkin jos on leväperäinen päivitysten suhteen. Yrityksissä nuo VPN:t ja ip-rajaukset ovat merkittävämmässä asemassa kun soppaa on hämmentämässä usein useampi kokki, kaikkien tietoturvahygieniasta ei voi olla täysin varma, ja kaivataan vähän syvyyttä puolustukseen.
Tasan ei mene muumit kanootissa.
-
KKK
Re: SSH-etäyhteys avaintunnistuksella
Tällä hetkellä ei ole mahd käyttää vpn+ssh-yhdistelmää tässä, mutta täytyypä tarkastaa tuo versio. Ainakaan toistaiseksi ei ole logeihin ilmestynyt outoja loggautumisyrityksiä, eikä ainoa toimia ssh-username omaa superuser-oikeuksia sekään, ne pitää antaa passulla erikseen.
Sitä vaan alkaa vanhemmiten tulla vainoharhaiseksi. Suljin jo kaikki "ihan-kiva" tasoiset jutut reitittimen portfwd:stä. Käytettävyys saa hieman kärsiä tietoturvan vuoksi. Nyt nassen kaikki muu liikenne menee vpn-putken kautta. Jos oikein alkaa foliohatuttaa niin ssl vpn:n päälle ja vpn-liikenne vielä lisäksi proxyn kautta
Sitä vaan alkaa vanhemmiten tulla vainoharhaiseksi. Suljin jo kaikki "ihan-kiva" tasoiset jutut reitittimen portfwd:stä. Käytettävyys saa hieman kärsiä tietoturvan vuoksi. Nyt nassen kaikki muu liikenne menee vpn-putken kautta. Jos oikein alkaa foliohatuttaa niin ssl vpn:n päälle ja vpn-liikenne vielä lisäksi proxyn kautta