我正在设置Linode服务器,“入门指南” 安全指南build议通过IPv4或IPv6禁用ssh访问,以便只启用其中的一个。
我理解减less攻击面的一般理论,但为什么我会select一个呢? 我怎么知道我需要哪一个?
只听一个互联网协议。 SSH守护进程默认侦听通过IPv4和IPv6的传入连接。 除非您需要使用两种协议将SSH连入您的Linode,否则禁用您不需要的任何一个。 这不会在整个系统范围内禁用协议,它只适用于SSH守护进程。
可以有几个原因来禁用一个或另一个。 我的家庭和办公室有稳定的IPv6地址,但总是改变IPv4地址。 因此,防火墙IPv6更容易,更安全,因此我closures了IPv4。
当我需要维护时,我要么从已知的networkingssh,要么打开一个VPN,并获得允许通过防火墙的IPv6地址。
这一切都取决于你的环境,但这是对我有用:)
正如你可能知道有很多自动化的机器人试图打入互联网的系统。 其中一些尝试通过SSH连接到互联网上的每个系统,并尝试通用的密码。
曾经在networking上安装系统的每个人都看到他们的日志中充满了关于尝试中断的消息。 但是,他们都在IPv4上! IPv6上没有。 机器人试图连接到存在的每个IPv4地址,但是这对于IPv6来说是不可能的,因为它们太多了。
我通常启用这两个协议,但是当我禁用一个,它是IPv4。
有更有效的方法来保护您的SSH服务器。 我认为保护ssh的两个最重要的步骤是:
有了这两个,禁用IPv4或IPv6就没有什么安全性了。
有人赞成将sshconfiguration为侦听IPv4和IPv6,即使您通常不使用它们也是如此。
如果其中一个协议由于服务器上或其中一个提供商的路由器configuration错误而无法访问,则可以使用其他协议login。 在这种情况下,启用IPv4和IPv6将使问题更容易debugging。