Yanıtlar:
Bazı kişilerin iddia ettiği kadar kullanışlı değildir, ancak en azından günlük dosyalarınız üzerindeki etkiyi azaltacaktır, zira birçok kaba kuvvet giriş işlemi SSH'nin başka bir yerde dinleyip dinlemediğini görmek için tarama yapmak yerine yalnızca varsayılan bağlantı noktasını kullanır. Bazı saldırılar başka bir yerde SSH'yi tarar, bu yüzden gümüş kurşun olmaz.
Sunucunuz, projelerinizin ihtiyaçlarını karşılamak yerine, bir tür paylaşılan ana bilgisayar olacaksa, varsayılan olmayan bir bağlantı noktasını kullanmak, kullanıcılarınıza tekrar tekrar açıklamak zorunda kalacağınız için acı verici olabilir. unuturlar ve müşteri programları 22 numaralı bağlantı noktasına bağlanamazlar!
Standart olmayan bir bağlantı noktasında SSH ile ilgili olası bir diğer sorun, kısıtlayıcı bir çıkış filtresi seti olan bir müşteriyle karşılaşmanız, özel bağlantı noktanıza bağlanamayan bir filtreyle karşılaşmanızdır, çünkü filtreleri yalnızca örneğin 22, 53, 80 ve 443 yeni giden bağlantılar için varış noktası olacak. Bu nadir, ancak kesinlikle duyulmamış. Benzer bir konuda, bazı İSS'ler, bir P2P bağlantısını gizlemek ve kısma (veya engelleme) girişimi olarak genellikle beklenenden başka bir limandaki şifreli trafiği görebiliyor (443 veya HTTPS, SSH için 22 vb.). Bağlantıyı uygunsuz bir şekilde yapın.
Şahsen rahatlık için SSH'yi standart portta tutuyorum. Olağan önlemler alındığı sürece (güçlü parola / anahtar ilkesi, kök girişlerini kısıtlayan, ...) endişelenmenize gerek yoktur ve kaba kuvvet saldırısı ile karşılaştığınızda günlük dosyası büyüme sorunu bu tür araçlar kullanılarak hafifletilebilir. fial2ban olarak, belirli bir zaman diliminde çok fazla kötü kimlik doğrulama bilgisi vermeyen hostları geçici olarak engellemek için.
Seçtiğiniz bağlantı noktası ne olursa olsun, 22'den uzaklaşırsanız, 1024'ün altında olduğundan emin olun. Varsayılan yapılandırmalarındaki çoğu Unix benzeri kurulum altında, yalnızca kök (veya kök gruptaki kullanıcılar) 1024'ün altındaki bağlantı noktalarında dinleyebilir, ancak herhangi bir kullanıcı daha yüksek portlarda dinleyebilir. SSH'yi daha yüksek bir portta çalıştırmak, haydut (veya saldırıya uğramış) bir kullanıcının SSH daemon'unuzu çökertme ve kendi veya bir proxy ile değiştirme şansını arttırır.
Bu gizlilik yoluyla basit (ama şaşırtıcı derecede etkili) bir güvenlik biçimidir .
SSH sunucunuz 22 numaralı bağlantı noktasında değilse, varsayılan hesaplarda zayıf şifreler arayan tüm interneti tarananlar tarafından bulunma olasılığı çok daha düşüktür. Tüm ağı tarıyorsanız, SSH sunucusunu bulmak için 64k olası tüm bağlantı noktalarını kontrol edemezsiniz.
Ancak eğer biri sizi aktif olarak hedefliyorsa, faydası yoktur, çünkü basit bir kerelik nmaptarama, üzerinde çalıştığı bağlantı noktasını ortaya çıkarır.
Bruteforce saldırılarından gerçekten kaçınmak için, bazı adımları takip etmek her zaman önemlidir:
Evet, kaba kuvvet saldırılarının tümünü önlemeye yardımcı olduğu ve günlükleri temiz tutmaya yardımcı olduğu için faydalıdır :)
Size düşen liman numarasına gelince, şirketlerin 1291'i oldukça sık kullandıklarını gördüm. Bazı senaryolardan kaçınmaya yardımcı olmak için daha yüksek bir şey kullanıyorum.
Kök ssh girişlerine izin vermemek ve port numarasını değiştirmek ve belki fail2ban gibi bir şey ve altın olmalısın. iyi önlem almak için iptables ekleyin ve sizi güncel tutun; herhangi bir sorun yaşamanız gerekmez.
Standart olmayan bir ssh portu kullanmak daha fazla açıklama ve belge gerektirir ve e-postaları "Giriş yapamıyorum" cevabını verir.
Standart olmayan bir bağlantı noktasında sshd kullanmanın aşağıdaki faydaları yarattığım sorunlardan daha önemli olduğunu düşünüyorum:
Dahası, eğer gerçekten kötü olmak istiyorsanız , standart sshd'ınız her zaman sahte sshd ( DenyUsers * ile ) 22 nolu standart limanda çalıştırabilir, normal sshd'ınız 54321 nolu limanda çalışır. Tüm girişleri reddeden bir servise giriş yapmayı deneyin, çünkü kimse gerçek sshd servisinizi bulmayı düşünmeyecektir .
2 sentim.
Bunu herhangi bir "güvenlik" nedeni ile yapmak sahtedir. Güvenlik olmayan, belirsizliğe göre en iyi güvenlik örneğidir.
Günlüklerinizi biraz daha hafif ve daha temiz tutmak istiyorsanız, o zaman evet, birçok port çalma / script-kiddy bruteforce girişiminde bulunmayacağınız için evet, kullanışlıdır.
Kaba kuvvet parola tahmin edici saldırıları deneyen komut dosyası botlarının genellikle Bağlantı Noktası 22'ye odaklanmaları yararlıdır, bu nedenle bağlantı noktalarını değiştirmek genellikle onları atar. Standart olmayan bağlantı noktasına bağlanmak için ssh istemcilerini yapılandırma acısı ile bu riski azaltmanın değerini dengelemeniz gerekir (kuşkusuz bağlanan çok fazla kullanıcınız yoksa çok büyük bir acı değil).
Alternatif olarak, parola doğrulamayı kapatarak ve bunun yerine RSA anahtarı doğrulamasını gerektirerek kaba kuvvet riskini azaltabilirsiniz.
Genellikle SSHD'deki bağlantı noktasını değiştirmiyorum, bu nedenle başka bir numara öneremiyorum, ancak başka bir numara bulmak için sık kullanılan bağlantı noktaları listesini kontrol edin (örneğin, başka bir şey tarafından kullanılmayan ve bu nedenle taranabilir) .
SSHd'imi her zaman 2222 numaralı bağlantı noktasını kullanacak şekilde değiştiriyorum, sunucularıma girmesi gereken herkes bunu biliyor ve bu bir sır değil. Bunu yaparak hiçbir güvenlik kazancı yoktur (korsanların mutlak bir moron olmadığı sürece).
Bundan elde edebileceğim tek yarar , auth log'unun 'root', 'alice', 'bob', 'sally', 'admin' vb. İçin başarısız bir giriş girişimi olmamasıdır.
Müstehcenlik yoluyla güvenliğin faydasız olduğu kanıtlandı, genellikle yukarıda belirtilen tüm nedenlerden dolayı ssh erişimini standart bağlantı noktasıyla yapılandırıyorum (yeniden yapılandırmada müşteri sorunları, güvenlik duvarı ve proxy sorunları, vb.).
Buna ek olarak, her zaman root oturum açma ve parola doğrulamayı devre dışı bırakıyorum ve son adım olarak syslog'daki bu can sıkıcı mesajlardan kurtulmak için fail2ban'ı kullanıyorum . Debian / Ubuntu'da yazı yazmak kadar basittir aptitude install fail2ban. Varsayılan yapılandırma oldukça iyi çalışır, ancak genellikle bazı parametrelerin daha uzun yasaklama süresine (en az bir gün) sahip olması ve kısıtlama için tetikleyici olarak yalnızca 2 başarısız kimlik doğrulama girişimi yapması için daha kısıtlayıcı olmasını ayarladım.
SSH portunu değiştirirken kendinizi en fazla koruyacağınız şeyin, standart kullanıcı adlarını / şifrelerini kullanarak erişmeye çalışacak ve otomatik olarak taranacak otomatik taramalar olduğunu söyleyebilirim. onlar.
Sunucunuza şifre girişlerini devre dışı bırakırsanız (ki şiddetle tavsiye edilir), o zaman SSH portunu değiştirmek tamamen işe yaramaz. Parola girişlerini devre dışı bırakarak (ve anahtar tabanlı kimlik doğrulaması gerektirerek), kaba kuvvet parolası girişimi olasılığını ortadan kaldırırsınız, böylece bağlantı noktası numaralarıyla uğraşarak hiçbir şey elde edemezsiniz.
Parola temel doğrulamasına izin vermeye devam ederseniz, başarılı bir kaba kuvvet girişimi olasılığına açık bırakıyorsanız veya - daha genel olarak, benim deneyimimde - çalışan bir sistemi kullanırken yazdığınız için şifreniz tehlikeye giriyor bir keylogger.
man ssh-keygenÇok fazla bilgi için bakın .
Cevap değil ama yorum için çok uzun, bu yüzden bu CW'yi yapacağım.
Bunu bir süredir düşünüyordum ve Alnitak'ın cevabına yaptığı yorumlarda Juliano'nun söylediklerinde birçok gerçek olduğu sonucuna vardım. Yine de, 22 numaralı bağlantı noktasında SSH'yi çalıştırmanın, kendisine yönelik her türlü saldırıyı başlatmayı çok kolaylaştırdığını buldum.
Bu sorunu çözmek için, dahili SSH sunucularını 22 numaralı bağlantı noktasında çalıştırıyorum ve güvenlik duvarını hedef makinelerde yüksek bağlantı noktasını 22'ye ilerletmek için kullanıyorum. Bu, Juliano'nun belirttiği gibi düşük bir limanın güvenliğini korurken gizlilik yoluyla bir miktar güvenlik sağlar.
Belirsizlik yoluyla güvenlik normalde abone olduğum bir prensip değildir ve genellikle basit bir port taramasının hedef portu ortaya çıkaracağı ve gizliliği değersiz hale getireceği belirtilir. Bu sorunu çözmek için hem işte hem de evde güvenlik duvarlarım (Smoothwall Express), Snort uyarıları tarafından tetiklenen Guardian Active Response adlı bir komut dosyası kullanın. Gözlemden, aynı kaynaktan 3 farklı bağlantı noktasına daha fazla çarptığınızda, paketlerinizin önceden ayarlanmış sıfırlama zamanına kadar düştüğünü söyleyebilirim. Bu, port taraması yapmak için oldukça zor ve son derece zaman alıcıdır, bu da gizliliği gerçekten de bir değere dönüştürür. Bu aslında geçmişte, kaynağım (ev veya ofis) IP adresim için bir dışlama belirttiğim defalarca kapatılmamı sağladı.
Sahip olduğunuz sorun, güvenlik duvarının yalnızca belirli IP'lerin bağlanmasına izin verecek şekilde ayarlanmış olmasıdır ve patron dışarıdayken belirli IP'leri açmaktan bıkmıştır. Güvenlik duvarında bazı IP'leri kapatıyorsanız, bu kıçınıza acı verebilir.
Burada düşündüğüm iki şey var. Bağlantı noktasını değiştirmek otomatik saldırılara karşı korur. Bu konuda, ancak oradaki ortalama saldırı trafiğinin büyük bir parçası ... otomatik komut dosyası tarama ağları. Varsayılan bağlantı noktasını değiştirirseniz, bu saldırılar hiçbir şeyi bırakmaz. Yani bu konuda mantıklı. Ancak, yönlendirilmiş bir saldırıya karşı hiçbir şey yapmaz, çünkü saldırgan sizden nefret eden özel bir küçük arkadaşınız varsa, hangi portları kullandığınızı belirlemek için Nessus veya NMAP'den tarama yapabilir.
İkincisi, UNIX benzeri sunucular kullanıyorsanız, saldırıları durdurmak için Denyhosts gibi bir yardımcı program yükleyebilirsiniz. Denyhosts yüklüyorsanız, yanlış giriş denemelerini izler ve sonrasında (sayı ne olursa olsun) başarısız denemeleri izler, IP'yi belirttiğiniz süre boyunca yasaklar. Denyhosts, diğer denyhost sunucularıyla da konuşabilir ve yasak listelerini iletebilir. Bu nedenle, eğer bir saldırgan Fred'in Montana'daki Linux sisteminden kilitlenirse, sisteminiz de yasaklama için bu IP'yi alacaktır. Kullanıcılarınız şifrelerini hatırladıkları sürece çok faydalıdır.
Hepsi kullanım senaryolarınıza bağlıdır. SSH / SCP için bağlantı portunu değiştirmek için kaç tane kıçta ağrı olduğunu gösteren programlar var (eğer izin vermiyorlarsa ya da acı çekiyorlarsa, satıcıları kişisel olarak değiştirmeyi düşünmelisiniz). Sadece potansiyel bir korku ise, bunun sorun olmadığını söylerim. Ve bu sizin patronunuz, bir çok sysadmins SSH portunu çevirdiği için tamamen tuhaf olmayan bir şey talep ediyor (gizemli bir şekilde bile güvenlikten bile hafif kokan bir şeyden nefret eden insanlardan gelen bir kaçıkla ... ama gerçekten de kesiliyor) otomatik taramalardan kaynaklanan kaba arka plan gürültüsü.)
Kaynatılmış - bağlantı noktasını değiştirmek, otomatik komut dosyalarını ve kötü trafiğin çoğunu engeller. Yönlendirilmiş saldırganlar durmayacak. Otomatik bir yasaklama yardımcı programı da yüklemeyi düşünün. Katmanlardaki güvenlik, doğru şekilde yapıldığında size zarar vermez ve bağlantı noktalarını değiştirmek, çoğu durumda zarar verdiğinden daha fazla yardımcı olur.
Şu anda 5 yıldan uzun süredir> 1024 numaralı bağlantı noktasında SSH kullanıyorum. O zamandan beri, günlük dosyamda (kendim dışında) herhangi bir portscan girişimi görmedim. > 1024 numaralı bağlantı noktasını kullanarak yönettiğim sunucularım var.
> 1024 numaralı limanda çalışan SSH sunucusunun çoğu, oldukça popüler olan kendi web sitelerine sahip.
SSH sunucusu kendi şirketimde çalışıyorsa, siz o sunucuya IP adresini zaten gönderdim, böylece siz sunucuya girmeyi deneyebilirsiniz. Maalesef SSH sunucusu benim değil. ;-)
Ancak güvenli hale getirmek için kurmanız gereken başka şeyler var. SSH> 1024 tek başına yeterli olmaz. Bağlantı noktası numarası / etc / services içinde olmamalı, bağlantı noktası yönlendirmeyi kullanmalıdır (örn. Bağlantı noktası 1124-> 22), Kök'e doğrudan erişim devre dışı bırakılmalı ve diğer şeyler olmalıdır.
Bu nedenle, tartışmak istiyorsanız, SSH'yi> 1024 numaralı bağlantı noktasından birkaç yıl daha iyi çalıştırın.
p / s: 1124 benim SSH portum değil. Haha.
SSH'yi farklı bir bağlantı noktasına iyi taşımak bir anlam ifade etmekte, güvenlik açısından yardımcı olmaktadır ancak çok da fazla değildir. Tabii ki bunu yapabilmek için güvenlik duvarlarını kontrol etmelisin ama bu senin için bir sorun değil. Limanı hareket ettirmenin faydasını geri aldığını düşündüğüm şey kabul edilen aralığın açılması - aslında bunun faydayı geri almaktan ve sizi bugün olduğunuzdan daha fazla ortaya çıkarmaktan ibaret olduğunu söyleyebilirim. Eminim ki onu hem limanı hareket ettirmeye ikna edebiliyorsunuz hem de hepsini açmak yerine olası giriş noktalarının bir listesini harmanlayarak gelen aralığı önemli ölçüde azaltabiliyorsunuz.
Ssh portunuzu değiştirmek, yalnızca sınırlı bir güvenlik satın alan anlamsız bir egzersizdir. Parola kimlik doğrulamasını devre dışı bırakmak, kaba kuvvetli parola girişimleri riskini ortadan kaldıran ve yalnızca ssh anahtarına dayalı kimlik doğrulamasına bağlı olarak daha iyi bir durumdasınız. Ortamınız parola doğrulaması gerektiriyorsa, SecurID veya Wikid gibi iki faktörlü bir mekanizma uygulayın.
Bunların her ikisi de size güvenlikte gerçek bir artış sağlarken, ssh portunu değiştirmek sadece güvenlik yanılsaması verir.
Bu pratik POV: Değiştirilmiş SSH portu ile dört yıldan uzun süredir herkes tarafından görülebilen özel ssh sunucularını kullandım ve tek bir şifre taraması denemedim. Bu KG için uğruna, bir gün için 22 tanesini geri aldım. Sonuç olarak saniyede 5 civarında şifre girişimi sıklığıyla yaklaşık her 10 dakikada bir tarandım. Ayrıca, "taranan çocuklar tarama" aynı zamanda bazı OpenSSH açıkları bulunan sunucuları da aramaktadır.
Elbette bu, düşmanın varsa, yardım etmeyen gizlilikten korunmadır .
"Müstehcenlik yoluyla güvenlik" kalabalığının sızlığına bakılmaksızın harika çalışır.
Aptal tavşanlar, TÜM güvenlik belirsizlik yoluyla güvenliktir. Sırf kripto protokolü Z'nin (DNA örneklerinin bir kombinasyonunu gerektiren, paylaşılan anahtarlar ve insanların şifreleriyle yazması imkansız olan) gerçekten güvenli olduğuna inanıyor olmanız yeterli değil. Gerçek şu ki, herhangi bir güvenlik önlemi, kullanıcıların olasılık ve varsayımlarına dayanır. Bu varsayımı nasıl kullanacağımı bilirsem senin için çok kötü, ama işte orada.
Neyse,
Bunu yıllardır, a) bağlantı girişimlerinin sınırlandırılmasını sınırlandırdık (bununla birlikte, ssh config içindeki bir şeyi nasıl ayarlayacağımı bilmiyorum) ve b) sözlük saldırısı yapan herhangi bir sunucuyu yasaklayan bir komut dosyasını X, Y dakika içinde yanlış tahmin ediyor. Bir süredir bağlantıyı kurması için ev sahibini yasaklıyoruz ve bu değişen ağların topolojisine uyum sağlamayı kolaylaştırıyor.
Şifreleriniz yeterince karmaşıksa ve 15 dakikada sadece 3 deneme yapabilirlerse, korkacak çok şey yoktur. Dağıtılmış saldırıları izlemek de o kadar zor değil. Bu tür bir şeyi dışlamak için genellikle alt ağ ve ip ile harmanlıyoruz.
Son olarak, ihtiyacınız olan tek şey f / w kurallarını değiştirerek bağlantı noktanıza bağlantı kurmanıza izin veren bazı gizli sincap metodudur. Her şey olabilir ... smtp, web, magic dns sorguları. SecurID veya Wikid gibi şeyler üçüncü şahıslara daha fazla bilgi veriyor. Ve beni üçüncü şahıslar aracılığıyla güvenli sertifikalara başlatmayın.