web-dev-qa-db-ja.com

SSH(sftp)サーバー-DMZまたはポートフォワーディング?

メインマシンでSSHサーバーを実行しています。ここでのセキュリティリスクと、ポートフォワーディングまたはDMZの長所/短所は何ですか?

また、ルーターに変更を加えずにSSHサーバーをトンネリングする方法はありますか?

1
Robot

セキュリティリスク

SSHは既知のポートで動作します。あいまいなポート番号に切り替えることで、犯罪攻撃の数を減らすことができます(ただし、あいまいさはセキュリティではないことに注意してください)。これらの攻撃は、ログファイルをいっぱいにし、リソースを使用する迷惑です。

最大のリスクは、SSHでパスワード認証を許可することです。ほとんどの侵入の試みは、人気のあるユーザー名( "root"、 "john"など)と人気のあるパスワードの何千もの組み合わせを試します。遅かれ早かれ、彼らは正しく推測するでしょう。最善の解決策は、キーベースのログインのみを許可し、ログインを特定のユーザーIDのリストに制限することです。

ポートフォワーディングとDMZ

一部のルーターベンダーは、DMZという用語をワイルドカードポート転送を意味するために誤用しています。厳密に言えば、DMZは、公開サーバーを配置する分離されたLANセグメントです。サーバーが犯罪者に乗っ取られても、犯罪者は内部LAN(機密データや貴重なデータを保持している場所)にアクセスできません。可能な場合は、両方のポート転送を使用します。trueDMZ 。

ポートフォワーディングなしでSSHにチューニングします。

唯一の方法は、外部ランデブーポイントに reverse-tunnel を設定することです。

3
RedGrittyBrick