Сервер OpenSSH слушает нестандартный порт - рекомендуется или нет?

1289
Chintan

Рекомендуется ли прослушивать sshd через нестандартный порт? В документации сообщества Ubuntu есть строка, в которой говорится:

Не рекомендуется слушать на нестандартном порте.

Это на этой странице . Я всегда следовал этой практике и никогда не имел проблем. Не могли бы вы указать любую ситуацию, когда нестандартный порт не будет хорошей идеей.

1
Это действительно зависит от того, почему - если только для сокрытия этого, чем, возможно, нет Если для настройки специального сервиса для конкретного приложения, то, возможно, это то, что вам нужно. Shannon Nelson 14 лет назад 0

5 ответов на вопрос

6
Spig

При запуске сервера ssh вы должны отключить root ssh и использовать только аутентификацию с закрытым / открытым ключом. Изменение порта, на мой взгляд, является низкой формой безопасности.

Я использую ключи для аутентификации, меня смутил комментарий к документации. у него не было аргументов для утверждения, и я слышал, что использование нестандартного порта, как правило, хорошая идея, и определенно не единственный метод обеспечения безопасности. Chintan 14 лет назад 0
4
Zack Elan

Если у вас есть машина, на которую вы хотите, чтобы несколько человек могли подключаться по SSH, работа на нестандартном порту может сделать их более запутанными.

Однако если вы работаете только на порте, отличном от 22, у вас нет реальных недостатков (при условии, что вы помните номер порта), и это значительно сократит количество попыток подключения, которые вы получаете от ботов, выполняющих атаки по словарю.

Никаких реальных недостатков - пока он не выберет порт, на который опирается другое приложение. John T 14 лет назад 0
Вы все равно получите попытки подключения. Вы их больше не увидите. innaM 14 лет назад 0
4
Tim Post

Запуск SSH на нестандартном порту сродни перемещению гнезда ключа зажигания в автомобиле в багажник. Безопасность, хотя и неясность, не является безопасностью, но она мешает роботам писать сценарии, которые глупы, чтобы увидеть удлинитель, идущий от приборной панели через заднее сиденье.

Лучший способ обезопасить SSH - полностью предотвратить вход в систему root и принудительно использовать пары ключей, отключив вход в систему с паролями. Кроме того, не ленивый выход и делайте ключи без пароля.

Бороться с атаками грубой силы лучше, чем прятаться от них, вам не нужно, чтобы эти IP-адреса обращались к какой-либо службе в системе, если им не удается войти в систему как root 100 раз подряд. Для этого достаточно легко отслеживать файлы журналов и использовать инструменты брандмауэра (iptables) для блокировки будущих запросов.

Комбинация намного более безопасна ... и вам не нужно путать пользователей с нестандартным портом :)

+1 для iptables разрешить только некоторые ip-номера. Johan 14 лет назад 0
2
John T

Некоторые оговорки с этим:

  • Вы можете выбрать порт, который уже используется другим приложением
  • В некоторых (плохо закодированных) приложениях это значение может быть жестко задано как порт SSH, но большинство из них будут гибкими и позволят вам указать порт
  • Если другим пользователям будет предоставлен доступ по SSH, вам нужно убедиться, что вы сказали им, что он работает на другом порту, чтобы избежать этих назойливых ночных телефонных звонков.

Если это не проблема для вас, сделайте это!

1
Nathan Adams

Если вы хотите запустить SSH на стандартном порту, сделайте себе одолжение и установите Blockhosts. Установите его, настройте его, добавьте в cron, и вы по большей части будете в безопасности. По крайней мере, все попытки грубой силы не будут полезны.

Похожие вопросы