Ketika Anda perlu membuka sesuatu di jaringan rumah Anda ke internet yang lebih besar, apakah terowongan SSH merupakan cara yang cukup aman untuk melakukannya?
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Pembaca SuperUser Alfred M. ingin tahu apakah dia di jalur yang benar dengan keamanan sambungan:
Saya baru-baru ini membuat server kecil dengan komputer low-end yang menjalankan debian dengan tujuan untuk menggunakannya sebagai repositori git pribadi. Saya telah mengaktifkan ssh dan cukup terkejut dengan ketepatan saat ia mengalami serangan brute force dan sejenisnya. Kemudian saya membaca bahwa ini cukup umum dan belajar tentang langkah-langkah keamanan dasar untuk menangkal serangan ini (banyak pertanyaan dan duplikat pada kesepakatan serverfault dengan itu, lihat misalnya ini atau yang ini).
Tapi sekarang saya bertanya-tanya apakah semua ini sepadan dengan usaha. Saya memutuskan untuk menyiapkan server saya sendiri sebagian besar untuk bersenang-senang: Saya hanya bisa mengandalkan solusi pihak ketiga seperti yang ditawarkan oleh gitbucket.org, bettercodes.org, dll. Sementara bagian yang menyenangkan adalah tentang belajar tentang keamanan Internet, saya belum waktu yang cukup untuk mendedikasikannya untuk menjadi seorang ahli dan hampir pasti bahwa saya mengambil langkah-langkah pencegahan yang benar.
Untuk memutuskan apakah saya akan terus bermain dengan proyek mainan ini, saya ingin tahu apa yang saya benar-benar berisiko dalam melakukannya. Misalnya, sejauh mana komputer lain yang terhubung ke jaringan saya mengancam juga? Beberapa komputer ini digunakan oleh orang-orang dengan pengetahuan yang lebih rendah daripada saya menjalankan Windows.
Berapa probabilitas bahwa saya mendapat masalah nyata jika saya mengikuti panduan dasar seperti kata sandi yang kuat, akses root yang dinonaktifkan untuk ssh, port non standar untuk ssh dan mungkin melumpuhkan login sandi dan menggunakan salah satu aturan fail2ban, denyhosts atau iptables?
Dengan kata lain, apakah ada beberapa serigala jahat yang harus saya takuti atau apakah itu kebanyakan tentang mengusir kiddies naskah?
Haruskah Alfred tetap pada solusi pihak ketiga, atau apakah solusi DIY-nya aman?
Kontributor SuperUser TheFiddlerWins meyakinkan Alfred bahwa ini cukup aman:
IMO SSH adalah salah satu hal paling aman untuk didengarkan di internet terbuka. Jika Anda benar-benar khawatir, dengarkan pada port high-end non-standar. Saya masih memiliki firewall (tingkat perangkat) antara kotak Anda dan Internet yang sebenarnya dan hanya menggunakan port forwarding untuk SSH tetapi itu adalah tindakan pencegahan terhadap layanan lain. SSH sendiri cukup kuat.
sayamemiliki telah orang-orang memukul server SSH rumah saya sesekali (terbuka ke Time Warner Cable). Tidak pernah memiliki dampak yang nyata.
Kontributor lain, Stephane, menyoroti betapa mudahnya untuk mengamankan SSH lebih jauh:
Menyiapkan sistem otentikasi kunci publik dengan SSH benar-benar sepele dan membutuhkan waktu sekitar 5 menit untuk setup.
Jika Anda memaksa semua koneksi SSH untuk menggunakannya, maka itu akan membuat sistem Anda cukup tangguh seperti yang Anda harapkan tanpa menginvestasikan BANYAK ke dalam infrastruktur keamanan. Terus terang, ini sangat sederhana dan efektif (selama Anda tidak memiliki 200 akun - kemudian menjadi berantakan) bahwa tidak menggunakannya harus menjadi pelanggaran publik.
Akhirnya, Craig Watson menawarkan tip lain untuk meminimalkan upaya intrusi:
Saya juga menjalankan server git pribadi yang terbuka untuk dunia di SSH, dan saya juga memiliki masalah brute force sama seperti Anda, jadi saya bisa bersimpati dengan situasi Anda.
TheFiddlerWins telah membahas implikasi keamanan utama dari membuka SSH pada IP yang dapat diakses publik, tetapi IMO alat terbaik dalam menanggapi upaya brute-force adalah Fail2Ban - perangkat lunak yang memonitor file log otentikasi Anda, mendeteksi upaya penyusupan dan menambahkan aturan firewall ke mesin lokal
iptablesfirewall. Anda dapat mengkonfigurasi berapa banyak upaya sebelum larangan dan juga durasi larangan (default saya adalah 10 hari).
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
