私から実際のパスワードを誰も盗むことができないと仮定すると、SSHを使用して、標準ポートでSSHを実行しているサーバーにクラックして、非常に強力な(大文字、小文字、括弧、アンダースコア、ドルを含む24の記号)ことは事実上不可能です。ピリオドなど、人間の言葉を含まない)パスワード?
回答:
他のユーザーが非常に弱いパスワードを持っている可能性がある一方で、あなたのパスワードは非常に強力な場合があることを覚えておいてください。他のユーザーのsshアクセスをオフにするには、AllowGroupsまたはAllowUsersに入れ/etc/ssh/sshd_configます。
また、パスワードが安全すぎる可能性があることも忘れないでください。このパスワードはほぼ確実に書き留められます。
とは言っても、あなたはかなり安全だと思います。ポートノッキングなどと組み合わせると非常に安全です。
それはすべて、攻撃者がログインのためにtcp / 22ポートを攻撃する速度に依存します。そのような繰り返しの接続を終了するために何かを使用していない場合は、やがてパスワードが発見される可能性があります。この場合、時間が非常に長くなります。数か月間の継続的なハンマリング。SSHログでは、特定のアカウントを狙った小さなハンマー攻撃や、弱いパスワードを探すドアノックがたくさんあるのを見てきた。
ただし、すべての攻撃者がカジュアルであるとは限りません。特にあなたをターゲットにしている誰かが侵入するのに数か月待つ投資があります。このような理由から、可能な場合は共有キーが推奨されます。あなたが説明するパスワードは、(妥当な時間的制約のもとで)解読が不可能になる可能性が非常に高いです。私はファイブ・ナインのために息を止めません。
apt-get install denyhosts(debianベース)pkg_add -r denyhosts(FreeBSD)は、新しいボックスで最初に行うことの1つです。
sshdを標準以外のポートに移動すると、構成に追加するのは簡単で、sshボットトラフィックの99%がなくなる可能性があります。簡単に隠すことができるのに、なぜすべての総当たり攻撃に身をさらすのですか?;-)
また、インターネット全体に公開される場合は、通常、SSHキーペアベースの認証のみを使用するようにsshdを構成することをお勧めします。秘密鍵を安全に保つ限り、悪意のある人がサーバーであなたを認証することはほとんど不可能です。
別のコメンテーターがすでに指摘したように、これはsshd自体のゼロデイエクスプロイトからあなたを保護しません。ファイアウォールルールを介して接続する必要のあるマシンのみにトラフィックを制限することは常に良い考えです。