У нас есть 2 сервера, каждый из которых расположен в разных географических точках, где мы рассматриваем возможность использования сценария rsync для синхронизации определенных папок. Наша установка отключает логин и пароль root и полагается на ключевые файлы.
Мы запускаем SSH на порту 22X (просто для минимизации попыток входа в систему, а не как способ защиты от неизвестности).
Если мы настроим переадресацию портов так, чтобы порт XYZ перенаправлялся на 22X, и отключили входы по паролю, какие еще меры мы должны предпринять, чтобы предотвратить любую вредоносную активность, происходящую из-за открытого порта?
Я считаю, что до тех пор, пока мы храним наши ключи в безопасности, проблем быть не должно. я что-то пропустил?
Что касается исключительно безопасности на sshd service, вот некоторые дополнительные меры, которые вы можете реализовать в произвольном порядке:
sshd предполагается, что демон будет использоваться только между этими двумя узлами, iptables правило, ограничивающее доступ к порту 22X на основе IP-адреса источника.tcpwappers ACL.fail2ban может динамически добавлять правила к обоим iptables и /etc/hosts.allow для смягчения атак методом перебора.fwknop доступен в некоторых дистрибутивах.openssh вы можете настроить двухфакторную аутентификацию, используя kerberos например.