1

Рекомендуется ли прослушивать sshd через нестандартный порт? В документации сообщества Ubuntu есть строка, в которой говорится:

Не рекомендуется слушать на нестандартном порте.

Это на этой странице. Я всегда следовал этой практике и никогда не имел проблем. Не могли бы вы указать любую ситуацию, когда нестандартный порт не будет хорошей идеей.

5 ответов5

6

При запуске сервера ssh вы должны отключить root ssh и использовать только аутентификацию с закрытым / открытым ключом. Изменение порта, на мой взгляд, является низкой формой безопасности.

4

Если у вас есть машина, на которую вы хотите, чтобы несколько человек могли подключаться по SSH, работа на нестандартном порту может сделать их более запутанными.

Однако если вы работаете только на порте, отличном от 22, у вас нет реальных недостатков (при условии, что вы помните номер порта), и это значительно сократит количество попыток подключения, которые вы получаете от ботов, выполняющих атаки по словарю.

4

Запуск SSH на нестандартном порту сродни перемещению гнезда ключа зажигания в автомобиле в багажник. Безопасность, хотя и неясность, не является безопасностью, но она мешает роботу-скрипту, который глупо видеть удлинитель, идущий от приборной панели через заднее сиденье.

Лучший способ обезопасить SSH - полностью предотвратить вход в систему root и принудительно использовать пары ключей, отключив вход в систему с паролями. Кроме того, не ленивый выход и делайте ключи без пароля.

Бороться с атаками грубой силы лучше, чем прятаться от них, вам не нужно, чтобы эти IP-адреса обращались к какой-либо службе в системе, если им не удается войти в систему как root 100 раз подряд. Для этого достаточно легко отслеживать файлы журналов и использовать инструменты брандмауэра (iptables) для блокировки будущих запросов.

Комбинация намного более безопасна ... и вам не нужно путать пользователей с нестандартным портом :)

2

Некоторые оговорки с этим:

  • Вы можете выбрать порт, который уже используется другим приложением
  • В некоторых (плохо закодированных) приложениях это значение может быть жестко задано как порт SSH, но большинство из них будут гибкими и позволят вам указать порт
  • Если другим пользователям будет предоставлен доступ по SSH, вам необходимо убедиться, что вы сказали им, что он работает на другом порту, чтобы избежать этих назойливых ночных телефонных звонков.

Если это не проблема для вас, сделайте это!

1

Если вы хотите запустить SSH на стандартном порту, сделайте себе одолжение и установите Blockhosts. Установите его, настройте его, добавьте в cron, и вы по большей части будете в безопасности. По крайней мере, все попытки грубой силы не будут полезны.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .