クライアントの公開鍵をそのサーバーに保存し、SSH 経由でインターネットから Ubuntu サーバーにアクセスしたいと考えています。
セキュリティを強化するために、サーバーへの侵入のリスクを減らすために 22 以外のポートを使用したいと思います (スクリプト キッズはそのポート番号を推測する必要があるため)。
ポート転送をルーターで定義する方が良いですか(下図のように)それともサーバーで定義する方が良いですか(https://askubuntu.com/a/264048)?
答え1
それは(ほとんど)問題ではない
サーバーのシステム ログ内のログイン試行回数を減らすだけであれば、どちらの方法でも問題ありません。
具体的には、次の 2 つのアプローチがあります。
- ルーターにポート 220022 をリッスンさせ、IP 192.168.1.200 のポート 22 に転送するように設定できます。この方法では、
sshd_configサーバーで を編集する必要はありません。 - ルーターにポート 220022 をリッスンさせ、IP 192.168.1.200 のポート 220022 に転送するように設定できます。この方法では、
sshd_configサーバーがデフォルトのポート 22 をリッスンせず、選択したポートをリッスンするように編集する必要があります。
地元の脅威についてはどうですか?
自宅にいる誰かがサーバーに侵入したり、自宅の外に黒いバンに乗った誰かが駐車して自宅の WiFi ネットワークに侵入し、サーバーに侵入しようとするのではないかと心配な場合は、デフォルトのポートを変更するだけではおそらく救われないでしょう。
その他の対策
Thomas Ward がコメントで指摘しているように、SSH アクセスを少数の外部 IP アドレスのみに制限することは、より優れたセキュリティ対策です。ユーザーの特定のIPへのSSHアクセスを制限するその方法については。
これは、ログインする遠隔地がいくつかある場合(たとえば、オフィスと妹の家)に有効です。頻繁に旅行し、ホテルのインターネットからすべてログインしたい場合は、状況が異なります。
「ホテル」問題を解決するVPN
雇用主が提供する VPN サービス、または消費者向け有料 VPN が必要になります。次に、VPN サーバーの IP アドレス (または IP アドレスの範囲) を許可された IP アドレスのリストに追加します。外出中 (ホテルなど) は、まず VPN に接続し、次に SSH サーバーに接続します。
暴力行為を止めろ
SSH への繰り返しの失敗試行 (ブルート フォース) を阻止するさまざまなツールがありfail2ban、sshguardどちらも高く評価されています。
お役に立てれば
答え2
セキュリティを強化するために、サーバーへの侵入のリスクを減らすために 22 以外のポートを使用したいと思います (スクリプト キッズはそのポート番号を推測する必要があるため)。
実際にはそうはなりません。実行方法を知らない攻撃者は、nmap新しい攻撃を仕掛けてはくれません。ブルート フォース攻撃を試みることはありますが、適切なパスワード、レート制限 (fail2ban や sshguard など)、または単にパスワード ログインを禁止することで簡単に防御できます。
だから気にしないでください。実際に脅威となる攻撃者は騙されません。インターネット全体定期的にポートスキャンされます。