OpenSSH-Server, der auf einen nicht standardmäßigen Port wartet - empfohlen oder nicht?

1692
Chintan

Wird empfohlen, dass sshd an einem nicht standardmäßigen Port abgehört wird? Die Dokumentation der Ubuntu-Community enthält folgende Zeile:

Es wird nicht empfohlen, an einem nicht standardmäßigen Port zu hören.

Es ist auf dieser Seite . Ich habe diese Praxis immer befolgt und hatte nie Probleme. Könnten Sie eine Situation angeben, in der der nicht standardmäßige Port keine gute Idee wäre.

1
Es hängt wirklich davon ab, warum - wenn es nur zum Verstecken ist, als vielleicht nicht. Wenn Sie einen speziellen Dienst für eine bestimmte Anwendung einrichten möchten, ist es vielleicht das, was Sie brauchen. Shannon Nelson vor 15 Jahren 0

5 Antworten auf die Frage

6
Spig

Wenn Sie einen SSH-Server ausführen, sollten Sie root SSH deaktivieren und nur die private / öffentliche Schlüsselauthentifizierung verwenden. Das Ändern des Ports ist meiner Meinung nach eine geringe Form der Sicherheit.

Ich verwende die Schlüssel zur Authentifizierung. Der Kommentar zur Dokumentation hat mich verwirrt. Es gab kein Argument für die Aussage, und ich habe gehört, dass die Verwendung eines nicht standardmäßigen Ports generell eine gute Idee ist und definitiv nicht die einzige Sicherheitsmethode ist. Chintan vor 15 Jahren 0
4
Zack Elan

Wenn Sie über eine Maschine verfügen, an der mehrere Personen SSH-fähig sein sollen, kann die Ausführung auf einem nicht standardmäßigen Port für sie verwirrender sein.

Wenn Sie nur an einem anderen Port als 22 arbeiten, hat dies jedoch keine wirklichen Nachteile (vorausgesetzt, Sie können sich die Portnummer merken), und die Anzahl der Verbindungsversuche, die Sie von Bots erhalten, die Wörterbuchangriffe durchführen, wird erheblich reduziert.

Keine echten Nachteile - solange er keinen Port wählt, auf den sich eine andere Anwendung verlässt. John T vor 15 Jahren 0
Sie erhalten weiterhin die Verbindungsversuche. Sie werden sie jedoch nicht mehr sehen. innaM vor 15 Jahren 0
4
Tim Post

Wenn Sie SSH an einem nicht standardmäßigen Port ausführen, wird der Zündschlüsselschlitz in einem Auto im Kofferraum verlegt. Sicherheit, obwohl Unklarheit nicht Sicherheit ist, aber sie führt Roboter-Skripte durch, die zu dumm sind, um das Verlängerungskabel vom Armaturenbrett durch den Rücksitz laufen zu sehen.

Der beste Weg zur Sicherung von SSH besteht darin, Root-Anmeldungen vollständig zu verhindern und die Verwendung von Schlüsselpaaren durch Deaktivieren der Kennwort-Anmeldungen zu erzwingen. Machen Sie sich auch nicht faul und machen Sie Schlüssel ohne Kennwort.

Kampf gegen Brute - Force - Angriffe ist besser als von ihnen versteckt, Sie nicht mit denen IP-Adressen zugreifen wollen jeden Dienst auf dem System, wenn sie nicht als root 100 - mal in Folge anzumelden. Es ist ziemlich einfach, Protokolldateien zu überwachen und Firewall-Tools (iptables) zu verwenden, um zukünftige Anforderungen zu blockieren.

Die Kombination ist viel sicherer .. und Sie müssen Benutzer nicht mit einem nicht standardmäßigen Port verwechseln :)

+1 für iptables erlaubt nur einige IP-Nummern. Johan vor 15 Jahren 0
2
John T

Einige Vorbehalte dabei:

  • Sie können einen Port auswählen, den eine andere Anwendung bereits verwendet
  • Bei einigen (schlecht codierten) Anwendungen ist dieser Wert möglicherweise als SSH-Port fest codiert. Die meisten Anwendungen sind jedoch flexibel und ermöglichen die Angabe eines Ports
  • Wenn andere Benutzer über SSH-Zugriff verfügen, müssen Sie sicherstellen, dass Sie an einem anderen Port angemeldet sind, um störende Telefonanrufe zu vermeiden

Wenn dies für Sie kein Problem ist, versuchen Sie es!

1
Nathan Adams

Wenn Sie SSH auf einem Standardport ausführen möchten, tun Sie sich einen Gefallen und installieren Sie Blockhosts. Installieren Sie es, konfigurieren Sie es, fügen Sie es zu cron hinzu und Sie sollten größtenteils sicher sein. Zumindest sind alle Brute-Force-Versuche nicht sinnvoll.