在 windows 2003 域控制器上執行 cygwin sshd 有多安全

我已經在 Windows 2003 DC 上多次安裝了 cygwin（執行 sshd）。

但現在另一位實際負責該域的管理員問我這是否真的安全。

**編輯：：**我更改了問題以使其更適合接受的答案。我已將我最初想到的問題的另一部分移至新執行緒，請點擊此處。

通常，您希望避免在伺服器上安裝過多的服務。鑑於 Active Directory 域控制器電腦的敏感工作（儲存使用者憑據和執行身份驗證），您應該比文件伺服器更關心它們。

話雖如此，但沒有安裝軟體的伺服器電腦將毫無用處。您需要進行風險評估，將其與軟體提供的好處進行權衡，並在此基礎上做出決定。對於您公開的每項服務，您需要完成該一般流程（即使它只是您“在腦海中”而不是正式流程所做的事情）。在沒有權衡風險的情況下肆意公開服務（或者更糟糕的是，在沒有好處的情況下公開服務——認為 Windows 2000 Server 中的預設 IIS 安裝）是一個壞主意。

要回答您的特定查詢：

鑑於 OpenSSH 提供的服務的性質，它已經受到社區的大量審查。不幸的是，要允許sshd模擬使用者，您將不得不使用相當特權的憑據（在大多數情況下為 SYSTEM）執行它，因此守護程序本身的錯誤可能會導致遠端 SYSTEM 級別的妥協。誠然，我認為在 OpenSSH 中這種妥協的可能性相當低，但它仍然是可能的。

您應該對入站連接嘗試進行某種速率限制（以防止 DOS 攻擊——我個人喜歡sshd_block）。您應該認真考慮只允許基於證書的登錄（而不是密碼）。您應該將可以通過 SSH 訪問伺服器的使用者數量限制為只有需要訪問的使用者。如果您不需要這些功能，您應該禁用埠轉發和/或 SFTP。

我的感受總結如下：想想你在做什麼，在設置時做你的“功課”，你會沒事的。

引用自：https://serverfault.com/questions/270652