サーバーに Java アプリ (.jar) をアップロードして実行するために、最近、サーバー管理者に SSH 経由でサーバーへのリモート アクセスを有効にするように依頼しましたが、SSH アクセスを本当に有効にする必要があるかどうかを確認するために、何度も質問が返ってきました。
私は疑問に思いました:
- SSH はサーバーのセキュリティを本当に危険にさらします。
- SSH を使用する際にはどのような予防措置を講じる必要がありますか?
- サーバー上で SSH を本当に有効にする必要がありますか?
- Linux サーバーにリモート接続するのに適した Windows SSH クライアントは何ですか?
答え1
SSH プロトコルによる通信は安全ですが、管理者が最初のリクエストで SSH アクセスを許可しないのには別の理由があると思います。
システムへの SSH アクセスを取得すると、通常はシステムにファイルをコピーして実行できます (jar だけでなく)。この方法では、ルート アクセスを取得してファイルをアップロードしたり、別の方法でシステムを侵害したりすることができます。
したがって、SSH アクセスを許可すると、どれだけ安全にセットアップされていても、マシンに直接アクセスでき、これがシステムへの別の攻撃ベクトルになります。 有効にするサービスはできるだけ少なくするというのが原則です。 しかし、管理者がすでに SSH を使用していないとは考えられません。 したがって、SSH を有効にしても追加のリスクはありませんが、サーバーに新しいアカウントを与えるとリスクが生じる可能性があります。 公開キー認証とパスワード認証のどちらを使用しているかを尋ねてください。 公開キーを使用することは、セキュリティ上の良いアドバイスです。
アクセスを許可しないもう 1 つの理由は、サーバー上で何が実行されているかを詳細に把握していないため、サーバーに対する制御が少し失われる可能性があることです。そのため、アップロードする内容とこれらのプログラムの動作を詳細に伝えてください。管理者からさらに質問されたり、何かを変更する必要があると言われたりするかもしれませんが、この方法では、管理者と協力してサーバー上で jar を実行できます。
Windows クライアントとして、私は Chris Kaufmann に同意します。PuTTY は Windows 上の非常に優れたクライアントです。
答え2
Aputsiaq さんの意見に賛成です。正しく設定されていれば安全ですが、そうでない場合は安全ではありません。サーバーをもっと注意深く監視する必要があると思います。できる限り厳重に設定してください。Windows の場合、 パテゴールドスタンダードです。
答え3
SSH をオープンしたがらないもう 1 つの理由は、接続をトンネルする機能です。SSH は通常トンネルを許可するため、ユーザーが望む以上にネットワークをオープンにする可能性があります。