SSH（sftp）サーバー-DMZまたはポートフォワーディング？

メインマシンでSSHサーバーを実行しています。ここでのセキュリティリスクと、ポートフォワーディングまたはDMZの利点/欠点は何ですか？

また、ルーターを変更せずにSSHサーバーをトンネリングする方法はありますか？

セキュリティリスク

SSHは、既知のポートで動作します。あいまいなポート番号に切り替えることにより、犯罪攻撃の数を減らすことができます（ただし、あいまいさはセキュリティではありません）。これらの攻撃は、ログファイルをいっぱいにしてリソースを使用する迷惑です。

最大のリスクは、SSHでパスワード認証を許可することです。ほとんどの侵入試行は、一般的なユーザー名（「ルート」、「ジョン」など）と一般的なパスワードの数千の​​組み合わせを試みます。遅かれ早かれ、彼らは正しく推測します。最良の解決策は、キーベースのログインのみを許可し、ログインをユーザーIDの特定のリストに制限することです。

ポート転送とDMZ

一部のルーターベンダーは、ワイルドカードポート転送を意味する用語DMZを誤用しています。厳密に言えば、DMZは、公共のサーバーを配置する孤立したLANセグメントです。これらのサーバーが犯罪者に乗っ取られた場合、犯罪者は内部LAN（機密または貴重なデータを保持している場所）にアクセスできません。可能な場合は、ポート転送と真のDMZの両方を使用します。

ポート転送なしでSSHにトンネリングします。

唯一の方法は、外部ランデブーポイントへの逆トンネルをセットアップすることです。

私はこれに遅れて来ましたが、ここに私の常識的なアプローチがあります。

DMZのSSHサーバー：

1. リモートルートアクセスを無効にする
2. パスワード認証を無効にする
3. SSHポート番号を変更する
4. LONG RSA公開鍵を、非rootユーザーの.sshフォルダー許可キーに入れます
5. サーバーの公開キーを取得する

次に、接続するときに、1）RSA秘密鍵を使用します。2）DMZサーバーの公開鍵を常にSSH接続に提示します。

接続するユーザーは、sudo用にセットアップできます。しかし、より安全なのは、suをrootにすることです。

公開鍵は、Man-In_middle攻撃を防ぎます。盲目的にDMZのIPアドレスに接続しないでください。決して決して。

このすべてをパテで行うことができます。

または、「EESM ForestSafe」などのPPM製品を使用して、完全な監査などを行うリモートターミナルを使用します。さらに、優れたPPMシステムを使用すると、suルートに行く場合、セッションの完了後にルートパスワードを変更できます。

SSHは十分に文書化されており、堅牢であり、長いRSAキーは依然として無敵です。

シンプルに保つと、理解しているセキュリティが常に最適に機能します。

がんばろう。