Soru Varsayılan ssh bağlantı noktasını neden değiştirelim? [kapalı]


Birçok yöneticinin varsayılan ssh bağlantı noktasını değiştirdiğini fark ettim.

Bunu yapmak için mantıklı bir sebep var mı?


46
2017-10-09 08:05


Menşei


Kopyası unix.stackexchange.com/q/2942/9454 - Martin Schröder


Cevaplar:


Bazı kişilerin iddia ettiği kadar kullanışlı değil, ancak en az gçlü güç girişi girişimleri, SSH'nin başka bir yerde dinleyip dinlemediğini görmek için taramak yerine yalnızca varsayılan bağlantı noktasını kullandığı için günlük dosyalarınız üzerindeki etkiyi en aza indirecektir. Bazı saldırılar SSH'yi başka yerlerde de tarayacak, bu yüzden gümüş mermi değil.

Sunucunuz, projelerinizin ihtiyaçlarına cevap vermek yerine, yalnızca bir çeşit paylaşılan bir ana bilgisayar olacaksa, varsayılan olmayan bir bağlantı noktası kullanmak, kullanıcılarınızla birlikte tekrar tekrar anlatmak zorunda kalabileceğiniz bir acı olabilir. Unuttuğunda ve müşteri programları port 22'ye bağlanmayı başaramazlar!

Standart olmayan bir bağlantı noktasındaki SSH ile ilgili olası bir diğer sorun, kısıtlayıcı bir çıkış filtresi kümesine sahip bir istemci ile karşılaşmanız, filtresinin yalnızca bağlantı noktalarına izin verememesi nedeniyle özel bağlantı noktanıza bağlanamayacak olmanızdır. Örneğin, 22, 53, 80 numaralı bağlantı noktaları ve yeni giden bağlantılar için 443. Bu yaygın değil, ama kesinlikle duyulmamış. Benzer bir konuda, bazı ISS'ler, bir P2P bağlantısını ve gaz kelebeğini (veya bloğunu) gizleme girişimi olarak genel olarak beklenen konumlardan başka bir bağlantı noktasındaki şifreli trafiği görebilir (bağlantı noktası 443 veya HTTPS, SSH için 22 ve benzeri). bağlantı uygunsuz bir şekilde.

SSH'yi rahatlıkla kullanabilmem için standart bağlantı noktasında tutuyorum. Olağan önlemler alındığı sürece (güçlü parola / anahtar ilkesi, kök girişlerini kısıtlama, ...) endişelenmenize gerek yoktur ve brüt bir güç saldırısıyla vurulduğunda günlük dosyası büyütme sorunu, bu tür araçlar kullanılarak azaltılabilir. fial2ban, belirli bir zaman aralığında çok sayıda kötü kimlik doğrulama bilgisi kümesini veren ana makineleri geçici olarak engellemek için.

Hangi portu seçtiyseniz seçin, 22'den uzaklaşıyorsanız, 1024'ün altında olduğundan emin olun. Unix benzeri kurulumların çoğunun varsayılan konfigürasyonunda, sadece root (veya root grubundaki kullanıcılar) 1024'in altındaki portlarda dinleyebilir, ancak herhangi bir kullanıcı yüksek portlarda dinleyebilir. SSH'yi daha yüksek bir port üzerinde çalıştırmak, SSH arka planınızı bozmak ve kendi ya da bir proxy ile değiştirmek isteyen bir haydut (ya da saldırıya uğramış) kullanıcının şansını arttırır.


63
2018-02-07 16:26



Bu sunucunun tek kullanıcısıyım. 1024+ sayısını açıkladığınız için teşekkür ederiz. Seçmiş olsaydım 48xxx portu kullanırdım. Her neyse, bu noktada, eğer yararlıysa ya da değil ise - dynamic
> 1024 bit için +1. - MattC


Basit (ama şaşırtıcı derecede etkili) bir şeklidir belirsizlik yoluyla güvenlik.

SSH sunucunuz 22 numaralı bağlantı noktasında değilse, varsayılan İnternet hesaplarında zayıf şifreler arayan tüm İnternet’ü tarayanlar tarafından bulunma olasılığı çok daha düşüktür. Tüm ağı tarıyorsanız SSH sunucusunu bulmak için 64k olası bağlantı noktasını kontrol etmeyi göze alamazsınız.

Ancak, birisi aktif olarak sizi hedefliyorsa, basit bir kerelik olduğundan, hiçbir fayda sağlamaz. nmap Tarama aslında çalıştığı bağlantı noktasını ortaya çıkaracaktır.


27
2017-10-09 08:25



"64k olası portları kontrol et"... SSH'yi 1023'ün yukarısındaki herhangi bir limanda çalıştırmak yanlıştır. Sistemi yapar Daha varsayılan bağlantı noktasında çalışmayı bırakmaktan daha savunmasızdır. - Juliano
@Juliano - lütfen açıklayın. Sadece sen var Ayrıcalıklı bir limanda dinlemek için kök olmak (AFAIK) yapmamak güvensiz ayrıcalıklı olmayan bir bağlantı noktasında çalışacak. - Alnitak
Bu arada, gizlilik yoluyla güvenlik değildir, aksi takdirde aynı zamanda şifre kimlik doğrulaması çağırmanız gerekecektir. Uygulamanın açıklanmadığı zaman gizlilik yoluyla güvenlik söz konusudur. Burada, uygulama açıkça belirtilmiştir ("Hizmet portunu değiştirdim") ve sır ("hangi port?") Hala gizlidir. - Juliano
@John - ben aslında Juliano'nun noktasını görüyorum. SSH daemonunun kendinden daha az güvenli olmasını sağlamaz, ancak ayrıcalıklı olmayan bir port üzerinde çalışan genel durumda, rootun normal varsayımı geçersiz olur. başladı daemon. Yani bir şekilde bu artalanı durdurabiliyorsanız (ör. DoSing tarafından), kendi kötücül köpeğinize kök istismarına gerek kalmadan kendi yerine başlayabilirsiniz. Sahte arka plan, daha fazla yarar sağlamak için yeterli detayları yakalayabilir. - Alnitak
@John, bu doğru - yine de saldırganın yeni bir artalan başlatmak için yeterli erişim kazanmasını gerektiriyor. Önemli nokta, artık ihtiyaç duymamaları. kök başlatmak için erişim. - Alnitak


Gerçekten bruteforce saldırılarını önlemek için, bazı adımları takip etmek her zaman önemlidir:

  • Denyhosts veya fail2ban'ı yükle
  • Ssh bağlantı noktasında saniyede bağlantı sayısını sınırla
  • Ssh bağlantı noktasını değiştir
  • Kök giriş reddedildi
  • Şifre yerine anahtarla kimlik doğrulamayı etkinleştir

22
2017-11-14 21:29



Gerçekten kabul etmediğim liman değişim kısmı dışında iyi bir liste gibi görünüyor, bu çok belirsiz bir şey. Modern bir port tarayıcı birkaç saniye içinde bunu bulacaktır? (ve pek çok ağ, genellikle 22, 80 ve 443 ile sınırlı olan rasgele port trafiğine izin vermez) - Oskar Duveborn
Bağlantı noktası değişikliği, ssh'in varsayılan bağlantı noktasında çalışmasını denetleyen kaba kuvvet saldırılarını, saldırı daha ciddi ise, yalnızca bu durumda saldırgan ağ / ana makinenizdeki delik bağlantı noktalarının taranmasını yapabilir. - Ali Mezgani
Aslında, iyi bir güvenlik duvarının arkasında, hizmetlerinizi güncel tutarsanız ve bunların varsayılan ayarlarını değiştirirseniz, kötü niyetli kişilerin saldırılarından emin olabilirsiniz. ve 0 günlük istismar veya bilinmeyen saldırılardan olmayabilir - Ali Mezgani
Denyhosts / fail2ban kullanımı, bağlantı noktalarını değiştirme veya anahtar gerektirme gereksinimini azaltır. Parolalara izin vermezseniz, denyhosts / fail2ban komutunu kullanmanın veya bağlantı noktalarını değiştirmenin bir anlamı yoktur. - Jeremy L
Denyhosts / fail2ban kullanımı, ek güvenlik önlemleri gereksinimini mutlaka ortadan kaldırmaz. Güvenliğe giden nokta, güvenliği engellemeye çalışan kullanıcılara olabildiğince çok yol bloğu oluşturmaktır. Muhtemelen 22'den 2222'ye kadar limanı değiştirmenize gerek yok, ancak başka bir yönetici gelir ve şifreyi yeniden etkinleştirirseniz ... hala başka birkaç hız düşüşünün olduğu yerde devam edersiniz. Yukarıda listelenen her adım, yöneticiye% 100 güvenliğin imkansızlığına yakın bir yüzde alır. - Patrick R


Evet, tüm kaba kuvvet saldırılarını önlemeye yardımcı olduğu ve günlükleri temiz tutmaya yardımcı olduğu için yararlıdır :)

Size ait olan liman numarasıyla ilgili olarak, şirketlerin 1291'i oldukça sık kullandıklarını gördüm. Sadece bazı komut dosyalarından kaçınmak için daha yüksek bir şey kullanırım.

Kök ssh girişlerine izin vermemek ve port numarasını ve belki de fail2ban gibi bir şeyi değiştirmemek ve altın olmanız gerekir. iyi önlemler için iptables ekleyin ve size güncel şeyler tutmak ve herhangi bir sorun olmamalıdır.


12
2018-02-07 16:13



"Günlükleri temiz tutmak" için +1 - Lekensteyn
Ama bak David Spillett'in cevabı 1291 numaralı limanın (1024'ten büyük) neden tehlikeli olabileceğini bilmek. - Konerak
Başka bir sürü, daha iyi cevaptan 2 yıl sonra imtiyazsız bir limana başvurmayı önerecekseniz - belki de 'şirketlerin bunu yaptıklarını' daha iyi bir sebep hazırlayın. Şirketlerin birçok şey yaptığını gördüm. Örneklerini nadiren takip etmek istiyorum. - underscore_d


Standart olmayan bir ssh bağlantı noktası kullanmak daha fazla açıklama ve dökümantasyon gerektirir ve "Giriş yapamıyorum" e-postalarını yanıtlar.

Aşağıdakileri düşünüyorum faydaları sshd üzerinde çalışan bir Standart olmayan port, yarattığı sorunlardan daha önemli:

  • Kaba kuvvet saldırılarının% 99,9999'u sadece 22 numaralı limanı arayan ve standart olmayan limanı keşfetmeye çalışmak için hiçbir zaman boşa gitmeyen botlar tarafından gerçekleştirilir. Kaba kuvvet saldırıları ve benzeri karşı önlemler denyhosts veya fail2ban Ssh sunucusunu standart olmayan bir bağlantı noktasında çalıştırarak tasarruf edeceğiniz kaynakları tüketin.
  • Sisteminize girmeye çalışan botlar hakkındaki işe yaramaz raporlardan kurtulacaksınız. Başarısız oturum açma raporunda herhangi bir IP görünürse, bunun bir insan olduğu ihtimali vardır.

Üstelik, gerçekten kötü olmak istiyorsanız, her zaman sahte bir sshd çalıştırabilirsiniz ( DenyUsers * ) Standart port 22'de, normal sshd 54321 numaralı bağlantı noktasında çalışır. Bu, tüm botların ve davetsiz misafirlerin tüm girişleri reddeden bir hizmete oturum açmaya çalışacağından emin olabilirsiniz, çünkü kimse hiçbir zaman sizin gerçek sshd hizmeti.

2 sentim.


11
2017-11-14 23:17



Bu, daha da fazla destek çağrısına neden olabilir. - Brad Gilbert
Bu doğru, ancak geliştirilmiş güvenlik bir fiyata geliyor. :) - Born To Ride


Bunu herhangi bir "güvenlik" nedeni için yapmak bayağılıktır. Güvenlik değil, gizlilikle en iyi güvenlik örneği.

Eğer günlüklerinizi biraz daha açık ve temiz tutmak istiyorsanız, evet, çok sayıda liman vuruntu / script-kiddy bruteforce girişimi elde etmeyeceğiniz için yararlıdır.


10
2017-10-09 08:25



Evet. 22 numaralı bağlantı noktasında ssh'ım olduğunda, günlüklerimde 20.000'den fazla başarısız şifre girişimi gösterdim. Yani her gün bir güvenlik uyarı e-postası aldım. Parola kimlik doğrulaması devre dışı bırakılmış - giriş yapmak için uygun bir özel anahtara sahip olmanız gerekiyordu - bu yüzden içeri giren biri için endişelenmedim, ancak yalnızca gerçek bir şey olduğunda güvenlik uyarısı e-postalarını almak istiyorum. - jdege


Standart bağlantı noktasında ssh çalıştırır ve fail2ban veya denyhosts Sözlük saldırılarının sayısını sınırlamak için.

Başka bir seçenek de parola altogheter ile giriş yapmayı devre dışı bırakmak ve sadece ssh-keys ile girişlere izin vermektir.


9
2017-11-14 21:27





Çünkü, açık portlar için tüm sunucu IP'lerini istismar etme girişiminde tarayan bir sürü kötü insan var. SSH limanıma gün boyunca başka bir limana ve benim web sitelerimden hiçbirine bağlı olmayan bir IP'ye geçene kadar çekiç saldırıları yaptım.


8
2017-10-09 08:08





SSHd'yi 2222 numaralı bağlantı noktasını kullanmaya her zaman değiştiriyorum, sunucularıma girmesi gereken herkes bunu biliyor ve bu bir sır değil. Bunu yaparak kesinlikle bir güvenlik kazancı yoktur (ister hacker olsun mutlak bir moron değilse).

Tek faydası Ben şu andan itibaren auth logunun 'root', 'alice', 'bob', 'sally', 'admin' vb. İçin milyonlarca başarısız giriş denemesi yok.


7
2018-02-07 20:04





Kaba-kuvvetli şifre tahmin saldırılarını deneyen betiklerin genellikle Port 22'ye odaklanması, böylece portların değiştirilmesi genellikle onları atar. Ssh istemcilerini standart olmayan bağlantı noktasına bağlanacak şekilde yapılandırmanın verdiği acı ile bu riski azaltmanın değerini dengelemeniz gerekir (çok sayıda kullanıcının bağlanmadığı durumlarda çok büyük bir acı olmasa bile).

Alternatif olarak, parola kimlik doğrulamasını kapatarak ve bunun yerine RSA anahtar kimlik doğrulaması gerektirerek kaba kuvvet riskini azaltabilirsiniz.

Genellikle SSHD'deki bağlantı noktasını değiştirmiyorum, bu yüzden başka bir numara öneremiyorum, ancak kontrol et yaygın olarak kullanılan portlar listesi Başka bir numara bulmak (yani başka bir şey tarafından kullanılmayan ve dolayısıyla taranabilen) bulmak için.


6
2018-02-07 16:16





SSH bağlantı noktasını değiştirirken kendinizi en çok koruyan şey, standart kullanıcı adlarını / parolaları kullanarak erişmeye çalışacak otomatik taramalardır. Parola ilkeleriniz sıkıysa, endişelenmenize gerek yok demektir. onlar.


4
2017-11-14 21:28



Bir bağlantı noktası tarayıcısının diğer bağlantı noktalarını da deneyeceğinden bahsetmiyoruz. - Jim Deville