Я настраиваю сервер Linode и начинаю руководство по безопасности предлагает отключить доступ по ssh через IPv4 или IPv6, чтобы у меня был включен только один из двух.
Я понимаю общую теорию уменьшения поверхности атаки, но почему я должен выбрать одну из них? Как мне узнать, какой мне нужен?
Слушайте только по одному интернет-протоколу. Демон SSH по умолчанию прослушивает входящие соединения как по IPv4, так и по IPv6. Если вам не нужно подключаться к вашему Linode по SSH с использованием обоих протоколов, отключите тот, который вам не нужен. Это не отключает протокол в масштабе всей системы, это только для демона SSH.
Может быть несколько причин для отключения того или другого. Мой дом и офис имеют стабильные адреса IPv6, но всегда меняют адреса IPv4. Таким образом, брандмауэр IPv6 намного проще и безопаснее, поэтому я закрываю IPv4.
Когда мне нужно выполнить обслуживание, я либо использую ssh из известной сети, либо открываю VPN и получаю IPv6-адреса, разрешенные через брандмауэр.
Все зависит от вашего окружения, но это то, что мне подходит :)
Как вы, возможно, знаете, существует множество автоматических ботов, пытающихся взломать системы в Интернете. Некоторые из них пытаются подключиться к каждой системе в Интернете через ssh и пробовать общие пароли.
Каждый, кто хоть раз подключал систему к сети, видел, как его журналы заполнялись сообщениями о попытках взлома. Но все они подключены к IPv4! На IPv6 их нет. Боты пытаются подключиться ко всем существующим IPv4-адресам, но с IPv6 это невозможно, так как их слишком много.
Обычно я оставляю оба протокола включенными, но когда я отключаю один, это IPv4.
Есть гораздо более эффективные способы защитить ваш ssh-сервер. Я считаю, что двумя наиболее важными шагами для защиты ssh являются:
Если эти два параметра установлены, отключение IPv4 или IPv6 дает очень мало защиты.
Существуют аргументы в пользу того, чтобы ssh был настроен для прослушивания как IPv4, так и IPv6, даже если вы обычно не используете оба из них.
Если один из протоколов недоступен из-за неправильной конфигурации на вашем сервере или на одном из маршрутизаторов провайдера, полезно иметь возможность войти в систему, используя другой протокол. В таких ситуациях включение IPv4 и IPv6 значительно упростит устранение проблем.