Por que alterar a porta SSH padrão?
Eu notei que muitos administradores alteram o porto SSH padrão. Existe alguma razão racional para isso?
A razão mais provável é tornar mais difícil para as pessoas tentando aleatoriamente a força bruta de qualquer login SSH que possam encontrar. Minha máquina de revestimento de internet usa a porta SSH padrão, e meus logs usados para serem preenchidos com coisas como esta (trecho de um arquivo de log real):
sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user Oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user Tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96
Nos dias de hoje eu uso denyhosts para bloquear IPs que não conseguem autenticar muitas vezes, mas provavelmente é tão fácil de alternar por portas; Praticamente todos os ataques de força bruta desse tipo não vão incomodar a digitalização para ver se o seu sshd está ouvindo em outra porta, eles simplesmente assumirão que você não está executando um e seguir em frente
Não, é A Segurança pela obscuridade Tática.
Se a sua configuração do SSHD não estiver apta o suficiente para enfrentar crianças de script idiotas apenas tentando a porta 22, você tem um problema de qualquer maneira.
Uma reação mais racional seria:
- certifique-se de que seus usuários estejam usando boas senhas que são difíceis de adivinhar/força bruta
- desativar a autenticação por senha (pelo menos para contas importantes) e basta usar a autenticação de chave pública
- cuidado com problemas e atualizações de segurança SSH
Algumas pessoas também podem ser irritadas com o ruído SSHD escreve no log do sistema, e.
Jan 02 21:24:24 example.org sshd[28396]: Invalid user guest from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28396]: input_userauth_request: invalid user guest [preauth]
Jan 02 21:24:24 example.org sshd[28396]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Jan 02 21:24:24 example.org sshd[28398]: Invalid user ubnt from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28398]: input_userauth_request: invalid user ubnt [preauth]
Jan 02 21:24:24 example.org sshd[28398]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth
Pode ser então tentador obscureça a porta do SSHD ou para usar uma solução de bloqueio automático (como denyhosts, fail2ban ou blockhosts) para aumentar a relação relação sinal-ruído novamente.
Mas melhores alternativas existem. Por exemplo, você pode configurar seu syslog daemon tal que o ruído do log do SSHD é apenas escrito para - DIE - /var/log/sshd-attempts.log e o sinal (isto é, as mensagens de log do SSHD restantes) são escritas em /var/log/messages etc como antes.
A implantação de ferramentas de bloqueio automático deve ser considerada cuidadosamente porque adicionar mais complexidade aos sistemas relevantes de segurança significa também aumentar o risco de exploração . E, de fato, ao longo dos anos, existem vários vulnerabilidade do DOS relatórios para cada denyhosts , fail2ban e blockhosts .
Mudar a porta SSH é principalmente Teatro de segurança . Dá-lhe uma sensação difusa de ter feito alguma coisa. Você escondeu o porto SSH sob o capacho.
Se você executar um servidor SSH na Internet, verá muitas tentativas de login com falha em seus logs, de bots que estão procurando senhas estupidamente fracas, teclas fracas e explorações conhecidas nas versões mais antigas do servidor . As tentativas falhadas são apenas que: falhou tentativas. Até onde avaliar o quão vulnerável você é, eles são completamente irrelevantes. O que você precisa se preocupar é as tentativas de intrusão bem-sucedidas, e você não verá esses em seus logs.
Alterar a porta padrão irá reduzir o número de acessos por esses bots, mas que apenas frustrou os atacantes menos sofisticados que são interrompidos por qualquer segurança decente (atualizações de segurança aplicadas regularmente, senhas razoavelmente fortes ou autenticação de senha desativada). A única vantagem é reduzir o volume de logs. Se isso é um problema, considere algo como Denyhosts ou Fail2Ban Para limitar a taxa de conexão, ele também vai fazer o seu bem largura de banda.
Alterar a porta padrão tem uma grande desvantagem: torna você menos propensos a ser capaz de fazer login por trás de um firewall. Os firewalls são mais propensos a permitir serviços em sua porta padrão do que em alguma outra porta aleatória. Se você não estiver executando um servidor HTTPS, considere fazer ssh escutar na porta 443 também (ou redirecionar recebendo TCP solicitações da porta 443 para a porta 22), como alguns firewalls permitem o tráfego que eles podem Decodia na porta 443 porque parece https.