Op mijn ESXi server ben ik van plan enkele Linux-hosts te gaan draaien en ik wil net zoals vroeger, hiervoor gebruik gaan maken van een SSH Gateway Server.
Alle poorten worden dus structureel gesloten en de enige server die bij SSH kan komen van de servers is de SSH gateway server. Ik overwoog om dns2 hiervoor te gebruiken, maar het lijkt me cruciaal om een dergelijke server goed dicht te spijkeren, zeker gezien ik met private/public key pairs overweeg werken. Dat houdt in dat de private key op mijn computer een wachtwoord bevat, maar de private key op de ssh-server is wachtwoordloos. Je kunt dus vanaf de SSH gateway server op elke server inloggen zonder wachtwoord in te voeren.
Hiervoor heb ik eigenlijk alleen SSH nodig en dien ik mijn packages van tijd tot tijd te kunnen updaten. Alle poorten, behalve een alternatieve 22 poort dienen hiervoor ook gesloten te zijn.
Wat vinden jullie trouwens van de overweging om OpenBSD te kiezen in plaats van CentOS voor de SSH Gateway? Het voordeel hiervan is de betere veiligheid, maar het nadeel is dat ik weer een hele hoop documentatie moet gaan lezen.
Het instellen van het netwerk, de firewall-regels en het updaten van het systeem heeft me al twee volle uren gekost. Gezien ik echt alleen SSH nodig heb, zijn voor de rest alle services totaal onnodig. Dus het gaat hier om maximale veiligheid.
Veiligheidsmaatregelen:
- SSH via alternatieve poort
- Automatische SSH-ban na 5 login failures
- Inloggen via eigen username en niet via root (toch maar ssh nodig).
- Installatie CSF pro-actieve firewall voor het sluiten van alle poorten behalve SSH.
Ik zou graag laten zien welke packages en services er geinstalleerd staan, maar helaas is de lijst echt veel te lang om te posten op het forum.
rpm -qa - http://paste.voip.vg/view/46816132
netstat -aen - http://paste.voip.vg/view/19350179
Indien jullie wat meer kunnen vertellen over jullie oplossing, dan hoor ik dat graag.
Alle poorten worden dus structureel gesloten en de enige server die bij SSH kan komen van de servers is de SSH gateway server. Ik overwoog om dns2 hiervoor te gebruiken, maar het lijkt me cruciaal om een dergelijke server goed dicht te spijkeren, zeker gezien ik met private/public key pairs overweeg werken. Dat houdt in dat de private key op mijn computer een wachtwoord bevat, maar de private key op de ssh-server is wachtwoordloos. Je kunt dus vanaf de SSH gateway server op elke server inloggen zonder wachtwoord in te voeren.
Hiervoor heb ik eigenlijk alleen SSH nodig en dien ik mijn packages van tijd tot tijd te kunnen updaten. Alle poorten, behalve een alternatieve 22 poort dienen hiervoor ook gesloten te zijn.
Wat vinden jullie trouwens van de overweging om OpenBSD te kiezen in plaats van CentOS voor de SSH Gateway? Het voordeel hiervan is de betere veiligheid, maar het nadeel is dat ik weer een hele hoop documentatie moet gaan lezen.
Het instellen van het netwerk, de firewall-regels en het updaten van het systeem heeft me al twee volle uren gekost. Gezien ik echt alleen SSH nodig heb, zijn voor de rest alle services totaal onnodig. Dus het gaat hier om maximale veiligheid.
Veiligheidsmaatregelen:
- SSH via alternatieve poort
- Automatische SSH-ban na 5 login failures
- Inloggen via eigen username en niet via root (toch maar ssh nodig).
- Installatie CSF pro-actieve firewall voor het sluiten van alle poorten behalve SSH.
Ik zou graag laten zien welke packages en services er geinstalleerd staan, maar helaas is de lijst echt veel te lang om te posten op het forum.
rpm -qa - http://paste.voip.vg/view/46816132
netstat -aen - http://paste.voip.vg/view/19350179
Indien jullie wat meer kunnen vertellen over jullie oplossing, dan hoor ik dat graag.