Почему мне выбрать IPv4 или IPv6 для доступа по SSH?
Я настраиваю сервер Linode, и в руководстве по безопасности «Начало работы» предлагается отключить доступ по ssh через IPv4 или IPv6, чтобы у меня был включен только один из двух.
Я понимаю общую теорию уменьшения поверхности атаки, но почему я предпочитаю одну? Как узнать, какой из них мне нужен?
Слушайте только один интернет-протокол. Демон SSH по умолчанию прослушивает входящие соединения как по IPv4, так и по IPv6. Если вам не нужно подключаться к вашему Linode по SSH с использованием обоих протоколов, отключите тот, который вам не нужен. Это не отключает общесистемный протокол, это только для демона SSH.
Может быть несколько причин для отключения того или другого. Мой дом и офис имеют стабильные адреса IPv6, но всегда меняют адреса IPv4. Таким образом, брандмауэр IPv6 намного проще и безопаснее, и поэтому я закрываю IPv4.
Когда мне нужно выполнить обслуживание, я либо использую ssh из известной сети, либо открываю VPN и получаю IPv6-адреса, разрешенные через брандмауэр.
Это все зависит от вашего окружения, но у меня работает вот что :)
Как вы, возможно, знаете, существует множество автоматических ботов, пытающихся взломать системы в Интернете. Некоторые из них пытаются подключиться к каждой системе в Интернете через ssh и пробуют использовать общие пароли.
Каждый, кто когда-либо подключал систему к сети, видел, что их журналы заполнялись сообщениями о попытках взлома. Но все они подключены к IPv4! На IPv6 их нет. Боты пытаются подключиться ко всем существующим IPv4-адресам, но это невозможно с IPv6, так как их слишком много.
Обычно я оставляю оба протокола включенными, но когда я отключаю один, это IPv4.
Есть гораздо более эффективные способы защитить ваш ssh-сервер. Я считаю, что двумя наиболее важными шагами для защиты ssh являются:
- Настройка аутентификации на основе ключей и отключение аутентификации по паролю.
- Держите программное обеспечение в актуальном состоянии.
С этими двумя действиями очень мало безопасности для можно получить, отключив IPv4 или IPv6.
Существуют аргументы в пользу того, чтобы ssh был настроен для прослушивания как IPv4, так и IPv6, даже если вы обычно не используете оба из них.
Если один из протоколов недоступен из-за неправильной конфигурации на вашем сервере или на одном из маршрутизаторов провайдера полезно иметь возможность войти в систему, используя другой протокол. В таких ситуациях включение IPv4 и IPv6 значительно упростит отладку проблем.