Вопросы Теги

Сервер OpenSSH, слушающий нестандартный порт - рекомендуемый или нет?

Рекомендуется иметь sshd, слушающий на нестандартном порте? Документация сообщества Ubuntu имеет строку, которая указывает:

Не рекомендуется послушать на нестандартном порте.

Это находится на этой странице. Я всегда применял эту практику и никогда не имел проблемы. Вы могли указать какую-либо ситуацию, где нестандартный порт не был бы хорошей идеей.

1
задан 09.11.2009, 05:36

5 ответов

Если у Вас есть машина, в которую Вы хотите, чтобы много людей смогли к SSH, работание на нестандартном порте могло бы сделать его более сбивающим с толку их.

Если это просто, у Вас, однако, работая на порте кроме 22 нет реальных недостатков (предполагающий, что можно помнить номер порта), и это значительно сократит количество попыток подключения, которые Вы получаете из ботов, выполняющих атаки с подбором по словарю.

4
ответ дан 12.12.2019, 07:38
  • 1
    Никакие реальные недостатки - пока он не выбирает порт, на который полагается другое приложение. – John T 09.11.2009, 05:55
  • 2
    Вы все еще получите попытки подключения. Вы больше не будете видеть их, все же. – innaM 09.11.2009, 11:20

Вещи, которые необходимо действительно сделать при выполнении ssh сервера, состоят в том, чтобы выключить корень ssh и только использовать частную/с открытым ключом аутентификацию. Изменение порта, по-моему, является низкой формой безопасности.

6
ответ дан 12.12.2019, 07:38

Выполнение SSH на нестандартном порте сродни перемещению слота ключа зажигания в автомобиле к соединительной линии. Безопасность, хотя мрак не является безопасностью, но это действительно мешает сценариям робота, которые являются к глупому, чтобы видеть, что кабельный удлинитель работает от тире до заднего сиденья.

Лучший способ защитить SSH состоит в том, чтобы предотвратить корневые логины полностью, и осуществлять использование пар ключей путем отключения логинов пароля. Кроме того, не берите ленивый выход и делайте ключи пароля меньше.

Борьба с атаками перебором лучше, чем сокрытие от них, Вы не хотите их доступ IP никакой сервис на систему, после того как им не удается войти в систему как корень 100 раз подряд. Его довольно легкое для контроля файлов журнала для этого и инструментов брандмауэра использования (iptables) для блокирования будущих запросов.

Комбинация намного более безопасна.. и Вы не должны путать пользователей с нестандартным портом :)

4
ответ дан 12.12.2019, 07:38
  • 1
    +1 для iptables только позволяет некоторые IP-адреса. – Johan 09.11.2009, 08:08

Некоторые протесты с этим:

  • Можно выбрать порт, который уже использует другое приложение
  • Некоторые (плохо кодированный) приложения могут иметь это значение hardcoded в как порт SSH, но большинство будет гибко и позволит Вам указывать порт
  • Если другим пользователям предоставят доступ SSH, необходимо будет удостовериться, что Вы сказали им, что он работает на другом порте для предотвращения того раздражения поздно ночными телефонными вызовами

Если это не проблема для Вас, пойдите для нее!

2
ответ дан 12.12.2019, 07:38

Если Вы хотите выполнить SSH на стандартном порте, затем сделать себе одолжение и установить Blockhosts. Установите его, настройте его, добавьте его к крону, и необходимо быть в безопасности по большей части. По крайней мере все попытки грубой силы не будут полезны.

1
ответ дан 12.12.2019, 07:38

Теги

Похожие вопросы