私は過去にポート転送を行ったので、特定のアプリケーション、つまりセキュリティカメラからネットワークの外部にアクセスできます。それでも、SFTPまたはsshポートを世界に開放して、誰でも私のサーバーにアクセスできるようにすることは、懐中電灯なしで洞窟を歩いているようなものです。 PCを世界中に公開する前に、PCを保護するためにどのような予防策を講じる必要がありますか?
編集1:
IP /ポートコンボを世界にアドバタイズしない場合、どのようなトラフィックを除外できますか?
私はあなたと同じ質問に遭遇しました。まず、サーバーの種類によって異なります。ハードウェアサーバーがある場合は、sshdサービスを安全に削除するか、その受け入れを192.168.0.0/16などの内部トラフィックに制限できます。
しかし、あなたが私のようにクラウドサーバーを持っているなら。 ssh推測攻撃を考慮する必要があります。小切手 cat /var/log/secure
幸運を得てサーバーを制御するためにパスワードを推測しようとした招待されていないゲストを見つけるでしょう。
アプリケーションが一意の場合は、ポートを外部に残すだけです。そして、ほとんどのハッカーはそのアプリケーションに侵入する方法を知らないので、それは大きな問題にはなりません。遭遇する最も一般的な攻撃は、このssh推測攻撃です。
それを避けるための3つの方法、そしてあなたはあなたの感じに応じてそれらを選ぶことができます:
1)sshクライアントを介してサーバーを保守しない場合は、sshポートではなくアプリポートのみを受け入れるようにクラウドファイアウォールを変更します。これは潜水艦のポリシーです。
2)fail2banをインストールして、10分以内に5回以上間違ったコードを入力して特定された攻撃者を拒否します(これらの2つのパラメーターは変更できます)
3)秘密鍵を生成する-公開鍵のペアを作成し、秘密鍵をダウンロードしてログインし、パスワードsshを永久に禁止します。
ハウツーは2と3で簡単に見つかります。いくつかの通知:
2)yum install epel-release
CentOSのアプリケーションベースを拡大し、fail2banのインストールを支援します。カスタム設定jail.localでは、以下を変更する必要があります。
bantime = -1s
[sshd]
enabled = yes
3)id_rsaは秘密鍵です。PuTTYで使用できるように、名前に「.ppk」を追加します。