Несколько лет назад было несколько удаленных эксплойтов для OpenSSH, которые побудили многих администраторов, включая меня, начать фильтровать порт 22 на периметре сети, разрешая только IP-адресам сотрудников использовать SSH. Это была обычная практика.
Тогда это имело смысл, но имеет ли смысл сейчас?
Я говорю о безопасности и возможности использования самого демона ssh, меня не беспокоят боты, пытающиеся подобрать пароль для входа в систему. В моем магазине ssh уже заблокирован; root логины отключены, используется только аутентификация с открытым ключом.
В основном я спрашиваю, есть ли там детишки, которые 9 лет сидят на OpenSSH нулевого дня? Парень, с которым я работаю, предполагает это, и его логика такова: «потому что это сервер». Я считаю его веру сомнительной.
Я бы сказал, что все же стоит избегать большой поверхности атаки в виде вашего SSH-сервера.
Вот некоторые вещи, которые я делаю (на разных машинах):
Запуск ssh на другом порту позволяет избежать множества ботов и сканирований, но требует немного больше работы при подключении (но помогает запись в ~ / .ssh / config). Это не остановит решительного хакера, только ботов и т. Д.
Скорее всего, стоит сделать что-то вроде fail2ban + iptables или ограничения скорости соединения iptables. Его довольно просто настроить, но он быстро замедлит любого, кто неоднократно пытается что-то сделать, и не должен влиять на вас.
Никакие корневые входы / ключи OPIE / ssh должны помочь в большинстве, но не во все нулевые дни, а также во многих других ситуациях. Это может немного удлинить настройку нового компьютера / нового администратора, но то, что он предлагает, того стоит.
Хотя может быть не так много детишек с подобными эксплойтами - ОПРЕДЕЛЕННО существуют зомби-боксы со сценариями, которые делают это за них.
При этом все еще существуют неприятные взломы, которые могут произойти из-за закрытых IP-адресов - ваша безопасность настолько же сильна, как безопасность удаленной машины / IP.
Изучите как минимум технологии туннелирования / VPN. Также выбросьте пароли (аутентификаторы и тому подобное), если вы действительно беспокоитесь о безопасности.