openssh-server 在本地網路上安全嗎?
簡單描述一下我的情況:
2 台家用電腦,均連接到標準 AT&T 路由器。兩台電腦都
192.168.1.x從路由器獲取 IP 地址。我不知道路由器的 IP 對外界來說是什麼,或者我怎麼知道如何確定它。我有一個非常標準的 AT&T 光纖計劃,所以我假設我的路由器到外部世界的 IP 是 DHCP,但我不是 100% 確定,我不確定如何檢查這個。兩台電腦都執行最新版本的 Ubuntu(也使用 Windows 雙引導,但我很少使用 Windows)。我經常需要從一台電腦到另一台電腦進行大文件傳輸,安裝
openssh-server和使用scp命令似乎是最有效的方法,所以我一直這樣做。使用該ifconfig命令獲取一台機器的本地 IP,然後scp移動大量文件非常簡單。兩台機器都有一個很好的
sudo密碼,包括大寫字元、小寫字元、數字和特殊符號,我不會在其他任何地方使用密碼,所以其他人不會知道它,而且很難猜到。我確實在兩台電腦上都有可以用來偽造我的身份的資訊。作為一般做法,當我完成工作時,
scp我會關閉 openssh 伺服器,直到下一次我需要進行傳輸。我使用自動駕駛汽車數據集,它們變得非常龐大(最新的 Waymo 和 NuScenes 集都解壓了約 500GB),所以對於一些特別大的傳輸,我會在一夜之間啟用。sudo systemctl stop ssh``sudo systemctl disable ssh``ssh所以我的問題是,如上所述安裝
openssh-server(systemd程序名稱)和執行,我是否承擔任何安全風險?ssh如果是這樣,建議採取哪些措施來緩解?
與所有安全問題一樣,答案始終取決於您必須防禦的威脅概況……
但是不,只要您沒有在路由器上啟用任何埠轉發以將發送到路由器公共 IP 地址的數據包轉發到埠 22 上的一個機器。
假設現代光纖計劃還包括 IPv6 支持,則風險會稍高一些,因為可能通過 IPv6 訪問電腦,具體取決於電腦和路由器上的預設防火牆規則。
為了使事情盡可能安全,我建議採取以下步驟。
- 禁用 ssh 的基於密碼的登錄,並生成一組用於驗證 ssh 客戶端的公鑰/私鑰。這將防止人們試圖對使用者名/密碼進行暴力猜測。
- 啟用 IPv6 防火牆以阻止所有不是來自本地電腦的訪問(這可能是通過連結本地地址,或者如果您通過限制對前綴的訪問獲得固定的全域前綴)
- 確保通過 SSH 禁用直接 root 訪問(幾乎所有 SSH 的預設設置都已強制執行此操作)