Birçok yöneticinin varsayılan ssh bağlantı noktasını değiştirdiğini fark ettim.
Bunu yapmak için mantıklı bir sebep var mı?
Birçok yöneticinin varsayılan ssh bağlantı noktasını değiştirdiğini fark ettim.
Bunu yapmak için mantıklı bir sebep var mı?
Bazı kişilerin iddia ettiği kadar kullanışlı değil, ancak en az gçlü güç girişi girişimleri, SSH'nin başka bir yerde dinleyip dinlemediğini görmek için taramak yerine yalnızca varsayılan bağlantı noktasını kullandığı için günlük dosyalarınız üzerindeki etkiyi en aza indirecektir. Bazı saldırılar SSH'yi başka yerlerde de tarayacak, bu yüzden gümüş mermi değil.
Sunucunuz, projelerinizin ihtiyaçlarına cevap vermek yerine, yalnızca bir çeşit paylaşılan bir ana bilgisayar olacaksa, varsayılan olmayan bir bağlantı noktası kullanmak, kullanıcılarınızla birlikte tekrar tekrar anlatmak zorunda kalabileceğiniz bir acı olabilir. Unuttuğunda ve müşteri programları port 22'ye bağlanmayı başaramazlar!
Standart olmayan bir bağlantı noktasındaki SSH ile ilgili olası bir diğer sorun, kısıtlayıcı bir çıkış filtresi kümesine sahip bir istemci ile karşılaşmanız, filtresinin yalnızca bağlantı noktalarına izin verememesi nedeniyle özel bağlantı noktanıza bağlanamayacak olmanızdır. Örneğin, 22, 53, 80 numaralı bağlantı noktaları ve yeni giden bağlantılar için 443. Bu yaygın değil, ama kesinlikle duyulmamış. Benzer bir konuda, bazı ISS'ler, bir P2P bağlantısını ve gaz kelebeğini (veya bloğunu) gizleme girişimi olarak genel olarak beklenen konumlardan başka bir bağlantı noktasındaki şifreli trafiği görebilir (bağlantı noktası 443 veya HTTPS, SSH için 22 ve benzeri). bağlantı uygunsuz bir şekilde.
SSH'yi rahatlıkla kullanabilmem için standart bağlantı noktasında tutuyorum. Olağan önlemler alındığı sürece (güçlü parola / anahtar ilkesi, kök girişlerini kısıtlama, ...) endişelenmenize gerek yoktur ve brüt bir güç saldırısıyla vurulduğunda günlük dosyası büyütme sorunu, bu tür araçlar kullanılarak azaltılabilir. fial2ban, belirli bir zaman aralığında çok sayıda kötü kimlik doğrulama bilgisi kümesini veren ana makineleri geçici olarak engellemek için.
Hangi portu seçtiyseniz seçin, 22'den uzaklaşıyorsanız, 1024'ün altında olduğundan emin olun. Unix benzeri kurulumların çoğunun varsayılan konfigürasyonunda, sadece root (veya root grubundaki kullanıcılar) 1024'in altındaki portlarda dinleyebilir, ancak herhangi bir kullanıcı yüksek portlarda dinleyebilir. SSH'yi daha yüksek bir port üzerinde çalıştırmak, SSH arka planınızı bozmak ve kendi ya da bir proxy ile değiştirmek isteyen bir haydut (ya da saldırıya uğramış) kullanıcının şansını arttırır.
Basit (ama şaşırtıcı derecede etkili) bir şeklidir belirsizlik yoluyla güvenlik.
SSH sunucunuz 22 numaralı bağlantı noktasında değilse, varsayılan İnternet hesaplarında zayıf şifreler arayan tüm İnternet’ü tarayanlar tarafından bulunma olasılığı çok daha düşüktür. Tüm ağı tarıyorsanız SSH sunucusunu bulmak için 64k olası bağlantı noktasını kontrol etmeyi göze alamazsınız.
Ancak, birisi aktif olarak sizi hedefliyorsa, basit bir kerelik olduğundan, hiçbir fayda sağlamaz. nmap
Tarama aslında çalıştığı bağlantı noktasını ortaya çıkaracaktır.
Gerçekten bruteforce saldırılarını önlemek için, bazı adımları takip etmek her zaman önemlidir:
Evet, tüm kaba kuvvet saldırılarını önlemeye yardımcı olduğu ve günlükleri temiz tutmaya yardımcı olduğu için yararlıdır :)
Size ait olan liman numarasıyla ilgili olarak, şirketlerin 1291'i oldukça sık kullandıklarını gördüm. Sadece bazı komut dosyalarından kaçınmak için daha yüksek bir şey kullanırım.
Kök ssh girişlerine izin vermemek ve port numarasını ve belki de fail2ban gibi bir şeyi değiştirmemek ve altın olmanız gerekir. iyi önlemler için iptables ekleyin ve size güncel şeyler tutmak ve herhangi bir sorun olmamalıdır.
Standart olmayan bir ssh bağlantı noktası kullanmak daha fazla açıklama ve dökümantasyon gerektirir ve "Giriş yapamıyorum" e-postalarını yanıtlar.
Aşağıdakileri düşünüyorum faydaları sshd üzerinde çalışan bir Standart olmayan port, yarattığı sorunlardan daha önemli:
Üstelik, gerçekten kötü olmak istiyorsanız, her zaman sahte bir sshd çalıştırabilirsiniz ( DenyUsers * ) Standart port 22'de, normal sshd 54321 numaralı bağlantı noktasında çalışır. Bu, tüm botların ve davetsiz misafirlerin tüm girişleri reddeden bir hizmete oturum açmaya çalışacağından emin olabilirsiniz, çünkü kimse hiçbir zaman sizin gerçek sshd hizmeti.
2 sentim.
Bunu herhangi bir "güvenlik" nedeni için yapmak bayağılıktır. Güvenlik değil, gizlilikle en iyi güvenlik örneği.
Eğer günlüklerinizi biraz daha açık ve temiz tutmak istiyorsanız, evet, çok sayıda liman vuruntu / script-kiddy bruteforce girişimi elde etmeyeceğiniz için yararlıdır.
Standart bağlantı noktasında ssh çalıştırır ve fail2ban veya denyhosts Sözlük saldırılarının sayısını sınırlamak için.
Başka bir seçenek de parola altogheter ile giriş yapmayı devre dışı bırakmak ve sadece ssh-keys ile girişlere izin vermektir.
Çünkü, açık portlar için tüm sunucu IP'lerini istismar etme girişiminde tarayan bir sürü kötü insan var. SSH limanıma gün boyunca başka bir limana ve benim web sitelerimden hiçbirine bağlı olmayan bir IP'ye geçene kadar çekiç saldırıları yaptım.
SSHd'yi 2222 numaralı bağlantı noktasını kullanmaya her zaman değiştiriyorum, sunucularıma girmesi gereken herkes bunu biliyor ve bu bir sır değil. Bunu yaparak kesinlikle bir güvenlik kazancı yoktur (ister hacker olsun mutlak bir moron değilse).
Tek faydası Ben şu andan itibaren auth logunun 'root', 'alice', 'bob', 'sally', 'admin' vb. İçin milyonlarca başarısız giriş denemesi yok.
Kaba-kuvvetli şifre tahmin saldırılarını deneyen betiklerin genellikle Port 22'ye odaklanması, böylece portların değiştirilmesi genellikle onları atar. Ssh istemcilerini standart olmayan bağlantı noktasına bağlanacak şekilde yapılandırmanın verdiği acı ile bu riski azaltmanın değerini dengelemeniz gerekir (çok sayıda kullanıcının bağlanmadığı durumlarda çok büyük bir acı olmasa bile).
Alternatif olarak, parola kimlik doğrulamasını kapatarak ve bunun yerine RSA anahtar kimlik doğrulaması gerektirerek kaba kuvvet riskini azaltabilirsiniz.
Genellikle SSHD'deki bağlantı noktasını değiştirmiyorum, bu yüzden başka bir numara öneremiyorum, ancak kontrol et yaygın olarak kullanılan portlar listesi Başka bir numara bulmak (yani başka bir şey tarafından kullanılmayan ve dolayısıyla taranabilen) bulmak için.
SSH bağlantı noktasını değiştirirken kendinizi en çok koruyan şey, standart kullanıcı adlarını / parolaları kullanarak erişmeye çalışacak otomatik taramalardır. Parola ilkeleriniz sıkıysa, endişelenmenize gerek yok demektir. onlar.