Защита ssh сервер

[beren43]

Всем привет.
Я настроил ssh сервер так чтобы можно было заходить только с одного сервера.
Как мне защитить, тот shh сервер, с которого можно заходить от подмены на уровне ssh ?
Была идея использовать StrictHostKeyChecking на целовом хосте. Но эта проверка защищает целовой сервер от подмены ? А нужно сервер источник.
Спасибо =)

 

[larchik]

Очень трудно понять твой вопрос, сорри )
Во-первых смени порт ssh со стандартного на другой.
Во-вторых настрой брандмауэр. Я использую ufw (если это linux)
А третье - ты и сам сделал, возможность подключаться только с одного ip.
Читай периодически логи на сервере, меняй порт, если есть подозрения, что кто-то брутит сервер. И используй ключ вместо пароля

 

[beren43]

Попробую объяснить =)
Есть некий ssh сервер. Сервер A
Есть сервер ssh второй сервер. Cервер B
На сервере B настроено, что на него можно заходить по ssh только с сервера A
Так вот. Случилось так что злоумышленник подменил сервер A. Не важно как случилось и как подменил)
Как бы на уровне ssh защитить сервер B от подмены сервера A. Я видел намёки о понятии ssh ключа сервера. Было бы круто его проверять. Если он не соответствует настоящему серверу B, то сервер A должен запретить подключение по sshю

 

[Pernat1y]

Если сервер хакнут и сольют ключи, то разницы (в фингерпринте) ты уже не заметишь.

 

[beren43]

Это понятно. Но если бы я настроил проверку сервера A сервером B то было бы так:
Подменили сервер B, даже если похитили пару публичный-закрытый ключ, то на сервер B хацкер бы не зашёл. Так как сервер B понял бы что это другой сервер
A.

 

[larchik]

Что бы подменить сервер А, разве не нужно знать ключ сервера А?
Как его ещё подменить?
Я не понимаю.

 

[beren43]

Не нужно.
Сразу приходит простой вариант подмены сервера.
Злоумышленник проник за периметр и удалил настоящий сервер A и установил свой сервер A.
Но я говорю, вопрос не в том как интрудер это может сделать)

 

[larchik]

Я пас )
Какие-то непонятные манипуляции.
Злоумышленник проник за периметр и подменил сервер А. Злоумышленник должен знать, как сервер А подключается к серверу B, иначе затея не имеет смысла. Они же обмениваются ключами.
Объясни пожалуйста, чего я не понимаю? Вероятно я просто туплю )

 

[beren43]

Не, ты не тупишь.
Я просто вариант фаталити рассматриваю.
Да злоумышленник в периметре, да он знает как серверы подключаются.
И как спастись вот моя задача.
Может никак ...

 

[larchik]

Не, ты не тупишь.
Я просто вариант фаталити рассматриваю.
Да злоумышленник в периметре, да он знает как серверы подключаются.
И как спастись вот моя задача.
Может никак ...

В таком случае никак, имхо. Охранять периметр физически?

 

[Khammatov]

Всем привет.
Я настроил ssh сервер так чтобы можно было заходить только с одного сервера.
Как мне защитить, тот shh сервер, с которого можно заходить от подмены на уровне ssh ?
Была идея использовать StrictHostKeyChecking на целовом хосте. Но эта проверка защищает целовой сервер от подмены ? А нужно сервер источник.
Спасибо =)

Если эта статья не поможет, возможно направит вас в правильном направлении.

И комментарии внизу поста прошерстите обязательно.