Serge Bobrovsky

Serge Bobrovsky 

Лаборатория математики и программирования

303subscribers

46posts

Showcase

1

Дзен и искусство ухода за Arch Linux (10)


1.3. Защитите удалённый компьютер.
...Однако оставляя консольный доступ, вы создаёте обходной путь мимо вашей строгой SSH-политики (ключи + IP). Если этот путь защищён слабо, все ваши усилия по SSH теряет смысл.
Слабый пароль на IPMI / iDRAC, устаревшая прошивка с известными уязвимостями, отсутствие двухфакторной аутентификации, консоль доступна без VPN, логирование не настроено...
Консольный доступ -- это просто страховка на случай катастрофы. Вы случайно заблокировали сами себя через sshd_config (опечатка, не те права :), потеряли приватный ключ, SSH-сервер висит или упал, атака вывела SSH из строя...
Без консоли в таких случаях сервер скорее всего придётся переустанавливать, и в целом всё на милость техподдержки (возможно, только через личное присутствие).
Правильные подходы:
Консоль только через VPN / выделенную сеть
Отдельные учётные данные, не совпадающие с SSH
Длинный пароль
Никакого root / admin / password
IPMI/iDRAC не должен смотреть в интернет
Двухфакторная аутентификация (если поддерживается)
Аудит и логирование всех входов в консоль
Мониторинг: оповещение при входе в консоль
Да, но консоль всё равно остаётся опасным артефактом...
(все заметки по тегу arch)
Creator has disabled comments for this post.
Go up