Назад | Перейти на главную страницу

Ключи RSA нужны только для настройки LAN?

На моем сервере Ubuntu установлен SSH. Я могу войти в него со своего рабочего стола Ubuntu, используя пользователя и пароль. Я могу получить доступ к SSH только из своей локальной сети, поскольку порт SSH не перенаправляется на моем маршрутизаторе. Нужно ли мне настраивать ключ RSA для такой настройки? Насколько я понимаю, SSH безопасен, поскольку к нему нельзя получить доступ из Интернета.

Кстати, что еще я должен дважды проверить на предмет безопасности? У меня работают Apache, MySQL и ProFTPD.

Кстати, настроить вход без пароля с помощью SSH очень и очень просто, так что вы можете попробовать это:

$ ssh-keygen -t rsa # if you don't already have your key pair
$ ssh-copy-id -i ~/.ssh/id_rsa.pub myuser@myserver

И тогда у вас не будут спрашивать пароль каждый раз, когда вы входите на свой сервер :)

Если вы уверены, что только авторизованные пользователи могут получить доступ к вашей локальной сети, тогда достаточно имени пользователя и пароля. Ничто никогда не может быть полностью безопасным, вам нужно спросить себя: достаточно ли это хорошо?

Если ваш сервер доступен только через вашу локальную сеть, и вы не беспокоитесь о том, что люди получат к нему доступ, взломав WiFi или физический доступ к сети, то аутентификация по имени пользователя и паролю, вероятно, будет достаточно хорошей.

Ключи настройки с участием пароли. Затем используйте Брелок, единственный раз, когда вам придется вводить пароли, будет после перезагрузки. Вся безопасность паролей, все удобство ключей.

Я не против ввести пароль для SSH. Однако для дополнительной безопасности я бы рекомендовал включить ufw брандмауэра Ubuntu, который установлен, но по умолчанию отключен на Jaunty. Легко включить и настроить:

sudo ufw enable

РЕДАКТИРОВАТЬ: Не надо сделайте это сначала, если вы подключаетесь удаленно, иначе вы заблокируете себя! Безопаснее включить последний как только вы убедитесь, что все ваши правила соблюдены. См. Комментарий Олафа ниже.

По умолчанию блокировать все

sudo ufw default deny

Разрешить TCP на prt 22 для SSH:

sudo ufw allow 22/tcp

Удалите это правило (при необходимости в будущем):

sudo ufw delete allow 22/tcp

В дополнение к порту 22 вы захотите разрешить трафик на порт 3306 для MySQL, 80 для Apache и 20 и 21 по умолчанию для ProFTPD.

Вы также можете легко проверить свои правила:

sudo ufw status

Наконец, вы можете создать более детальные правила для определенных хостов или подсетей:

ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.1 port 22

После настройки отключите и снова включите ufw для применения.

Вам нужны ключи? Нет. Но использовать их станет намного удобнее, если у вас будет более одного сервера или если вам когда-нибудь придется написать сценарий какой-то задачи, требующей доступа по ssh.