Зачем менять порт ssh по умолчанию?

Я заметил, что многие администраторы меняют порт ssh по умолчанию. Есть ли разумная причина для этого?

18 голосов | спросил sheerun 10 +04002010-10-10T13:29:57+04:00312010bEurope/MoscowSun, 10 Oct 2010 13:29:57 +0400 2010, 13:29:57

3 ответа


27

Наиболее вероятная причина состоит в том, чтобы усложнить людям случайную попытку перебора всех SSH-логинов, которые они могут найти. Моя машина, работающая в Интернете, использует порт SSH по умолчанию, и мои журналы обычно заполнялись такими вещами (выдержка из фактического файла журнала):

sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96

В наши дни я использую DenyHosts для блокировки IP-адресов, которые не могут пройти проверку подлинности слишком много раз, но, вероятно, так же просто просто переключить порты ; практически все атаки с грубой силой такого рода не собираются сканировать, чтобы узнать, прослушивает ли ваш sshd другой порт, они просто предполагают, что вы не используете его и двигаетесь

ответил Michael Mrozek 10 +04002010-10-10T13:34:29+04:00312010bEurope/MoscowSun, 10 Oct 2010 13:34:29 +0400 2010, 13:34:29
15

Нет, это безопасность по неизвестности тактика.

Если ваша настройка sshd не подходит для того, чтобы сталкиваться с немым сценарием, детишки только пытались порт 22, у вас все равно есть проблема.

Более рациональная реакция будет:

  • убедитесь, что ваши пользователи используют хорошие пароли, которые трудно угадать /грубой силой.
  • отключить аутентификацию паролем (по крайней мере для важных учетных записей) и просто использовать аутентификацию с открытым ключом
  • Следите за проблемами и обновлениями безопасности ssh.

Некоторых людей также могут раздражать шум sshd, записываемый в системный журнал, например:

Jan 02 21:24:24 example.org sshd[28396]: Invalid user guest from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28396]: input_userauth_request: invalid user guest [preauth]
Jan 02 21:24:24 example.org sshd[28396]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Jan 02 21:24:24 example.org sshd[28398]: Invalid user ubnt from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28398]: input_userauth_request: invalid user ubnt [preauth]
Jan 02 21:24:24 example.org sshd[28398]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth

Возможно, тогда возникнет соблазн затенять порт sshd или использовать автоматическое блокирующее решение (например, DenyHosts, Fail2ban или BlockHosts), чтобы увеличить отношение сигнал /шум .

Но существуют лучшие альтернативы. Например, вы можете настроить демона syslog таким образом, чтобы шум журнала sshd записывался только в - say - /var/log/sshd-attempts.log и сигнал (т. Е. остальные сообщения журнала sshd) записывается в /var/log/messages и т. д., как и раньше.

Развертывание автоматических средств блокировки должно быть тщательно рассмотрено, потому что добавление большей сложности к системам, относящимся к безопасности, также увеличивает риск эксплуатация . И действительно, на протяжении многих лет существует несколько DoS-уязвимостей для каждого DenyHosts , Fail2ban и BlockHosts .

ответил maxschlepzig 10 +04002010-10-10T16:14:42+04:00312010bEurope/MoscowSun, 10 Oct 2010 16:14:42 +0400 2010, 16:14:42
4

Изменение порта SSH в основном в театре безопасности . Это дает вам нечеткое чувство что-то сделанное. Вы скрыли порт SSH под ковриком.

Если вы запустите SSH-сервер в Интернете, вы увидите много неудачных попыток входа в ваши журналы, от ботов, которые ищут глупо-слабые пароли, слабые клавиши и известные эксплойты в старых версиях сервера. Неудачные попытки состоят в следующем: failed . Что касается оценки того, насколько вы уязвимы, они совершенно неактуальны. Вам нужно беспокоиться об успешных попытках вторжения, и вы не увидите их в своих журналах.

Изменение порта по умолчанию уменьшит количество обращений от таких ботов, но это только сдерживает наименее искушенных злоумышленников, которых останавливает любая достойная защита (обновления безопасности применяются регулярно, достаточно надежные пароли или отключенная аутентификация пароля). Единственное преимущество - сокращение объема журналов. Если это проблема, рассмотрите что-то вроде Denyhosts или Fail2ban , чтобы ограничить скорость соединения, это также сделает вашу пропускную способность хорошей.

Изменение порта по умолчанию имеет главный недостаток: он делает менее вероятным возможность входа в систему из-за брандмауэра. Брандмауэры с большей вероятностью разрешают услуги через порт по умолчанию, чем на каком-то случайном другом порту. Если вы не используете HTTPS-сервер, попробуйте также прослушивать SSH на порту 443 (или перенаправить входящие запросы TCP от порта 443 на порт 22), так как некоторые брандмауэры разрешают трафик, который они не могут декодировать на порт 443, потому что он выглядит как HTTPS.

ответил Gilles 5 WedEurope/Moscow2012-12-05T04:13:57+04:00Europe/Moscow12bEurope/MoscowWed, 05 Dec 2012 04:13:57 +0400 2012, 04:13:57

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132