Página principal » cómo » ¿Qué tan arriesgado es ejecutar un servidor doméstico protegido detrás de SSH?

    ¿Qué tan arriesgado es ejecutar un servidor doméstico protegido detrás de SSH?

    Cuando necesita abrir algo en su red doméstica a Internet, es un túnel SSH lo suficientemente seguro como para hacerlo.?

    La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..

    La pregunta

    El lector Superusuario Alfred M. quiere saber si está en el camino correcto con la seguridad de la conexión:

    Recientemente he configurado un pequeño servidor con una computadora de gama baja que ejecuta debian con el objetivo de usarlo como un repositorio de git personal. He habilitado ssh y me sorprendió bastante la rapidez con la que sufrió los ataques de fuerza bruta y similares. Luego leí que esto es bastante común y aprendí sobre medidas de seguridad básicas para evitar estos ataques (muchas de las preguntas y duplicados en Serverfault tratan con esto, vea por ejemplo este o este).

    Pero ahora me pregunto si todo esto merece el esfuerzo. Decidí configurar mi propio servidor principalmente por diversión: solo podía confiar en soluciones de terceros como las que ofrece gitbucket.org, bettercodes.org, etc. Aunque parte de la diversión es aprender sobre seguridad en Internet, no tengo tiempo suficiente para dedicarme a ser un experto y estar casi seguro de que tomé las medidas de prevención correctas.

    Para decidir si continuaré jugando con este proyecto de juguete, me gustaría saber a qué me arriesgo realmente al hacerlo. Por ejemplo, ¿en qué medida las otras computadoras conectadas a mi red también son una amenaza? Algunos de estos equipos son utilizados por personas con menos conocimiento que el mío que ejecuta Windows.

    ¿Cuál es la probabilidad de que tenga problemas reales si sigo pautas básicas como contraseña segura, acceso de raíz deshabilitado para ssh, puerto no estándar para ssh y posiblemente deshabilite el inicio de sesión de contraseña y use una de las reglas fail2ban, denyhosts o iptables??

    Dicho de otra manera, ¿hay algunos lobos malos que debería temer o todo se trata principalmente de espantar a los niños de los guiones??

    ¿Debería Alfred atenerse a las soluciones de terceros o su solución de bricolaje es segura??

    La respuesta

    El contribuidor del Superusuario TheFiddlerWins le asegura a Alfred que es bastante seguro:

    IMO SSH es una de las cosas más seguras de escuchar en Internet abierto. Si realmente le preocupa, escuche en un puerto de gama alta no estándar. Todavía tendría un firewall (a nivel de dispositivo) entre su caja y la Internet real y solo usaría el reenvío de puertos para SSH, pero eso es una precaución contra otros servicios. SSH en sí es bastante maldito sólido.

    yo tener La gente había golpeado el servidor SSH de mi casa ocasionalmente (abierto a Time Warner Cable). Nunca tuve un impacto real.

    Otro colaborador, Stephane, destaca lo fácil que es asegurar aún más SSH:

    Configurar un sistema de autenticación de clave pública con SSH es realmente trivial y toma alrededor de 5 minutos de configuración.

    Si obliga a que todas las conexiones SSH lo usen, entonces su sistema se volverá tan resistente como pueda sin tener que invertir MUCHO en la infraestructura de seguridad. Francamente, es tan simple y efectivo (siempre que no tenga 200 cuentas, entonces se ensucie) que no usarlo debería ser una ofensa pública.

    Finalmente, Craig Watson ofrece otro consejo para minimizar los intentos de intrusión:

    También ejecuto un servidor de git personal que está abierto al mundo en SSH, y también tengo los mismos problemas de fuerza bruta que usted, por lo que puedo simpatizar con su situación..

    TheFiddlerWins ya abordó las principales implicaciones de seguridad de tener SSH abierto en una IP de acceso público, pero la mejor herramienta de IMO en respuesta a los intentos de fuerza bruta es Fail2Ban, un software que supervisa los archivos de registro de autenticación, detecta los intentos de intrusión y agrega reglas de firewall al máquina localiptables cortafuegos. Puede configurar cuántos intentos antes de una prohibición y también la duración de la prohibición (mi valor predeterminado es 10 días).


    ¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.