Wenn Sie einen SSH-Server ausführen, sollten Sie root SSH deaktivieren und nur die private / öffentliche Schlüsselauthentifizierung verwenden. Das Ändern des Ports ist meiner Meinung nach eine geringe Form der Sicherheit.
OpenSSH-Server, der auf einen nicht standardmäßigen Port wartet - empfohlen oder nicht?
Wird empfohlen, dass sshd an einem nicht standardmäßigen Port abgehört wird? Die Dokumentation der Ubuntu-Community enthält folgende Zeile:
Es wird nicht empfohlen, an einem nicht standardmäßigen Port zu hören.
Es ist auf dieser Seite . Ich habe diese Praxis immer befolgt und hatte nie Probleme. Könnten Sie eine Situation angeben, in der der nicht standardmäßige Port keine gute Idee wäre.
5 Antworten auf die Frage
- Beliebte
- Neu
- Mit Kommentaren
- Aktiv
Wenn Sie über eine Maschine verfügen, an der mehrere Personen SSH-fähig sein sollen, kann die Ausführung auf einem nicht standardmäßigen Port für sie verwirrender sein.
Wenn Sie nur an einem anderen Port als 22 arbeiten, hat dies jedoch keine wirklichen Nachteile (vorausgesetzt, Sie können sich die Portnummer merken), und die Anzahl der Verbindungsversuche, die Sie von Bots erhalten, die Wörterbuchangriffe durchführen, wird erheblich reduziert.
Wenn Sie SSH an einem nicht standardmäßigen Port ausführen, wird der Zündschlüsselschlitz in einem Auto im Kofferraum verlegt. Sicherheit, obwohl Unklarheit nicht Sicherheit ist, aber sie führt Roboter-Skripte durch, die zu dumm sind, um das Verlängerungskabel vom Armaturenbrett durch den Rücksitz laufen zu sehen.
Der beste Weg zur Sicherung von SSH besteht darin, Root-Anmeldungen vollständig zu verhindern und die Verwendung von Schlüsselpaaren durch Deaktivieren der Kennwort-Anmeldungen zu erzwingen. Machen Sie sich auch nicht faul und machen Sie Schlüssel ohne Kennwort.
Kampf gegen Brute - Force - Angriffe ist besser als von ihnen versteckt, Sie nicht mit denen IP-Adressen zugreifen wollen jeden Dienst auf dem System, wenn sie nicht als root 100 - mal in Folge anzumelden. Es ist ziemlich einfach, Protokolldateien zu überwachen und Firewall-Tools (iptables) zu verwenden, um zukünftige Anforderungen zu blockieren.
Die Kombination ist viel sicherer .. und Sie müssen Benutzer nicht mit einem nicht standardmäßigen Port verwechseln :)
Einige Vorbehalte dabei:
- Sie können einen Port auswählen, den eine andere Anwendung bereits verwendet
- Bei einigen (schlecht codierten) Anwendungen ist dieser Wert möglicherweise als SSH-Port fest codiert. Die meisten Anwendungen sind jedoch flexibel und ermöglichen die Angabe eines Ports
- Wenn andere Benutzer über SSH-Zugriff verfügen, müssen Sie sicherstellen, dass Sie an einem anderen Port angemeldet sind, um störende Telefonanrufe zu vermeiden
Wenn dies für Sie kein Problem ist, versuchen Sie es!
Wenn Sie SSH auf einem Standardport ausführen möchten, tun Sie sich einen Gefallen und installieren Sie Blockhosts. Installieren Sie es, konfigurieren Sie es, fügen Sie es zu cron hinzu und Sie sollten größtenteils sicher sein. Zumindest sind alle Brute-Force-Versuche nicht sinnvoll.
Verwandte Probleme
-
9
Was ist der Unterschied zwischen den Befehlen "su -s" und "sudo -s"?
-
4
Gutes freies Ubuntu Server-VMWare-Image benötigt
-
4
Was sind die Unterschiede zwischen den großen Linux-Distributionen? Werde ich es merken
-
2
Begrenzung der CPU-Auslastung für Flash in Firefox?
-
2
Wie kann ich mein Mikrofon unter Debian GNOME zum Laufen bringen?
-
2
Conky-Setups - Beispiele / Ideen?
-
3
Was sind die Unterschiede zwischen Linux Window Managern?
-
2
ThunderBird / Lichtsynchronisation mit SE k770i
-
4
Linux-Dateisystem
-
6
Vollbild-Flash langsam in KDE 4