Должен ли я запустить свой маленький веб-сайт в порт 80, 8080 или 81?

Question

Я работаю на небольшом веб-сайте, используя nginx. Поскольку (вероятно) не будет много трафика в течение срока службы моего сервера и чтобы избежать случайных DoS-атак, я подумываю настроить веб-сервер для прослушивания альтернативного порта вместо порта 80.

Снижает ли прослушивание через альтернативный порт (81, 8080 и т.д.) Риск атак или нарушений? Или бремя поддержания его перевешивает выгоды? В таком случае, должен ли я использовать эти альтернативные порты для других веб-сервисов на случай, если я настроу их в будущем?

Answer 1

Здесь нужно учитывать две вещи:

1. Запомнят ли ваши пользователи нестандартный порт в названии? По умолчанию порт 80 является стандартным, и поэтому вам не нужно вводить его в URL. Например, http://superuser.com работает через порт 80, и ваш браузер предполагает, что 80 - это порт, который вы имели в виду при вводе. Это ничем не отличается от ввода http://superuser.com:80 . Если вы запускаете свой веб-сервер через порт 8080, то пользователь должен ввести http://superuser.com:8080 . Средний пользователь вряд ли запомнит это.
2. Защищает ли запуск веб-сервера через нестандартный порт от DoS-атак? На самом деле, нет. Если кто-то действительно хотел отключить ваш сайт, работа на нестандартном порту не остановит его. Злоумышленники просканируют все порты на вашем IP-адресе и быстро обнаружат, что 8080 (или что бы вы ни выбрали) открыт и отвечает на запросы HTTP.

Такие методы, как смена портов, называются « Безопасность через неизвестность », и весьма сомнительно, что дополнительная работа и неудобства обеспечивают какую-либо ценную безопасность.

Answer 2

Да, установка альтернативного порта на самом деле снижает риск атак, так как боты, просматривающие Интернет и находящие некорректное веб-приложение, обычно не смотрят на другие порты.

Если злоумышленник нацеливает ваш сервер, будет действительно легко обнаружить реальный порт, на котором прослушивает nginx (сканируя открытые порты).

Использование этих альтернативных портов встречается редко (кроме прокси-серверов или ... альтернативных веб-серверов), поэтому я думаю, что вы можете использовать их без страха.

Но помните, что использование такого альтернативного порта не позволит посетителям "по умолчанию" найти ваш сайт, вам нужно будет сообщить людям (или написать это в ссылках) правильный порт, используя URL-адреса, такие как http://yourserver.com:81/. ..

Answer 3

Дополнительное соображение (к двум, предоставленным Keltari) заключается в том, что использование нестандартного порта может привести к тому, что ваш веб-сканер, такой как Google, упустит ваш веб-сайт, если вы не укажете иначе.

Если вы планируете, что ваш сайт будет трудно найти для всех, кроме людей, на которых вы предоставляете ссылку, то использование нестандартного порта будет выгодным, но в противном случае я бы выбрал стандартный порт.

Answer 4

Это зависит. Какая польза от "маленького сайта"?

• Если он будет использоваться другими людьми, я настоятельно рекомендую использовать стандартные порты. Как упоминалось в большинстве ответов, использование нестандартного порта требует , чтобы порт был указан пользователем (например, для порта 81 -> yoursite.com:81). Если вы используете стандартный порт, браузер выводит порт из протокола (http, https). http:// обычно является портом 80, а https:// обычно является портом 443, если не переопределен. Я настоятельно рекомендую использовать стандартные порты. Конечно, вы МОЖЕТЕ поставить единственный вход в дом на заднем дворе, но как посетители узнают, что он там?

• Если этот сайт используется только вами, спросите себя о двух вещах:

  • Будет ли он прикреплен к записи DNS (имя домена)? (Я считаю, что мои серверы без DNS-ссылок гораздо тише в отношении атак. ПРИМЕЧАНИЕ: пожалуйста, не считайте это более безопасным. Это не; злоумышленникам будет сложнее найти вас через DNS)
  • Вы в порядке с ручным вводом порта и / или IP?

TL; DR:

• Используется другими людьми: использовать 80/443
• Частное лицо: до вас

Answer 5

Вы можете запустить http-сервер на любом порту, но вашим пользователям будет сложно запомнить этот порт.

Это снизит риск атак или нарушений, но есть и другие способы, такие как защита вашего сервера и сохранение HTTP-сервера на порту 80