SSH je síťový protokol, který umožňuje bezpečné a šifrované spojení mezi dvěma počítači v nezabezpečené síti. V naší digitální architektuře je to primární nástroj pro administraci VPS serverů, správu síťových prvků a bezpečný přenos dat.

SSH pracuje na architektuře klient-server a standardně využívá port 22. Na rozdíl od protokolu TELNET jsou veškerá data (včetně hesel) šifrována, což znemožňuje jejich odposlech v rámci WAN.

Umožňuje uživateli získat textové rozhraní (TTY) vzdáleného stroje. To je nezbytné pro správu operačních systémů Linux, které běží v našem VPC.

Protokoly jako SFTP (SSH File Transfer Protocol) a SCP (Secure Copy) využívají SSH tunel k bezpečnému kopírování dat. Jde o bezpečnou alternativu k protokolům TFTP nebo FTP.

Umožňuje „zabalit“ nešifrovaný provoz jiné aplikace do šifrovaného SSH spojení. Tímto způsobem lze například bezpečně přistupovat k interní databázi přes veřejný internet.

V rámci kybernetické bezpečnosti využíváme dva hlavní způsoby přihlášení:

• Heslo: Základní metoda, vyžaduje silná hesla splňující firemní politiku.
• SSH klíče (Doporučeno): Využívá asymetrickou kryptografii (veřejný a soukromý klíč). Je mnohem bezpečnější a umožňuje automatizaci bez nutnosti zadávat heslo. Soukromé klíče doporučujeme ukládat v hardware typu TPM.

Naše IT Podpora vynucuje tato nastavení pro všechny servery v ZIF:

• Zákaz root přihlášení: Je zakázáno přihlašovat se přímo pod účtem `root`. Uživatel se musí přihlásit pod svým UID a následně použít příkaz `sudo`.
• Změna portu: U veřejně dostupných serverů často měníme port z 22 na náhodně zvolené číslo, aby se omezily útoky automatických botů.
• Fail2Ban: Naše brány UTM automaticky blokují IP adresy, které se opakovaně pokoušejí o neúspěšné přihlášení.

Tip pro vývojáře: Při generování nových klíčů používejte algoritmus Ed25519, který nabízí nejlepší poměr mezi rychlostí a bezpečností v rámci našich moderních IoT zařízení.

— Související stránky: ZIF, TELNET, VPS, Tux, VPC, WAN, TTY, TFTP, Kybernetická bezpečnost, TPM, UID, UTM, TLS, Jira