Session SSH potentielle SSH et bonnes pratiques SSH
Je panique un peu pour le moment. Je suis un sshing dans un serveur distant que j'ai récemment commandé. Je fais cela comme la racine. J'ai installé Fail2ban et j'ai eu une quantité massive d'IPS interdites dans le journal.
La dernière fois que je me suis connecté, j'ai remarqué que mon terminal est vraiment laggé, puis ma connexion Internet est descendue. Lorsque je l'ai acheté après environ 5 minutes, je me suis connecté au serveur et j'ai fait une "qui" et réalisa qu'il y avait deux utilisateurs racines connectés. J'aurais pensé que si ma connexion a résilié le processus de la dernière session aurait été arrêté sur le serveur?
La connexion s'est terminée par une "écriture échouée: tuyau cassée" lorsque je suis devenu déconnecté. J'ai tué la session Bash avec l'autre racine. Je ne sais pas grand chose de la sécurité de SSH, mais que des sessions pourraient-elles être détournées? Y a-t-il un moyen de vérifier cela? J'ai besoin de continuer à vous connecter via SSH quelles précautions dois-je prendre? Si j'étais en quelque sorte traversé un proxy pour atteindre mon serveur (comme un homme à l'attaque moyenne) pourraient-ils détourner ma session SSH?
Les connexions racines sont probablement suspendues à des sessions de coquilles qui étaient une fois vous. Votre serveur reçoit probablement probablement DDOS'D avec toutes les tentatives de connexion qui le frappe.
Verrouillez ssh. N'autorisez pas la connexion de la racine et ces demandes qui essaient de brute force cette machine échouera immédiatement (prendre beaucoup moins de ressources). Connectez-vous en tant qu'utilisateur normal et élever des autorisations via Sudo, une pratique que vous devriez faire de toute façon. Restreindre également la connexion SSH à une liste des clients IPS afin que les machines peu recommandables ne puissent même pas essayer de se connecter.
Utilisez des touches SSH au lieu de mots de passe pour la connexion utilisateur. Ils sont plus faciles à gérer et peuvent être protégés par mot de passe eux-mêmes au cas où vous donnez accidentellement une clé privée au mauvais endroit (vous donnant le temps de les remplacer et d'invalider l'ancien). Comme @eeaa mentionné dans les commentaires, vous devez également désactiver l'authentification basée sur le mot de passe si vous souhaitez limiter les clients à utiliser uniquement des clés au lieu des mots de passe et des clés.
Si les clans Mongol continuent de frapper votre mur de ville, déplacez peut-être SSH sur un autre port élevé (moins de 1024, car @Austinburke a souligné - de manière à utiliser un port privilégié) au lieu de 22. Cela réduira la circulation sur ce port. est un problème pour vous (et la plupart des bots ne sont pas très gracieux, ils ne tenteront donc que 22). Cela n'arrêtera pas les choses d'essayer du port 22 ou même de scanner votre machine pour voir quel port écoute sur SSH et dans la plupart des cas un inconvénient inutile. Mais cela peut aider.
D'autres pourraient être en mesure de fournir plus de conseils, mais ce sont des mesures de sécurité assez génériques pour un serveur SSH au format publiquement.