ฉันสังเกตเห็นว่าผู้ดูแลระบบจำนวนมากเปลี่ยนพอร์ต ssh เริ่มต้น
มีเหตุผลใดที่จะทำเช่นนั้น?
ฉันสังเกตเห็นว่าผู้ดูแลระบบจำนวนมากเปลี่ยนพอร์ต ssh เริ่มต้น
มีเหตุผลใดที่จะทำเช่นนั้น?
คำตอบ:
มันไม่เป็นประโยชน์อย่างที่บางคนเรียกร้อง แต่อย่างน้อยมันจะลดผลกระทบต่อไฟล์บันทึกของคุณเนื่องจากการพยายามลงชื่อเข้าใช้กำลังดุร้ายมาก ๆ จะใช้เฉพาะพอร์ตเริ่มต้นแทนที่จะสแกนเพื่อดูว่า SSH กำลังฟังที่อื่นหรือไม่ การโจมตีบางอย่างจะสแกนหา SSH จากที่อื่นดังนั้นจึงไม่มีกระสุนเงิน
หากเซิร์ฟเวอร์ของคุณจะเป็นโฮสต์ที่ใช้ร่วมกันบางประเภทแทนที่จะเป็นเพียงการตอบสนองความต้องการของโครงการของคุณการใช้พอร์ตที่ไม่ใช่ค่าเริ่มต้นอาจเป็นปัญหาได้เนื่องจากคุณจะต้องอธิบายให้ผู้ใช้ของคุณฟังซ้ำ ๆ เมื่อพวกเขาลืมและโปรแกรมไคลเอนต์ของพวกเขาล้มเหลวในการเชื่อมต่อกับพอร์ต 22!
ปัญหาที่เป็นไปได้อีกประการหนึ่งเกี่ยวกับ SSH บนพอร์ตที่ไม่ได้มาตรฐานคือหากคุณพบลูกค้าที่มีชุดตัวกรองไม่อยู่ภายนอกที่ จำกัด ผู้ที่ไม่สามารถเชื่อมต่อกับพอร์ตที่กำหนดเองของคุณได้เนื่องจากตัวกรองอนุญาตเฉพาะพอร์ต 22, 53, 80 และ 443 เป็นปลายทางสำหรับการเชื่อมต่อที่ไม่ต่อเนื่องใหม่ นี่เป็นเรื่องแปลก แต่ก็ไม่เคยได้ยินมาก่อน ในเรื่องที่คล้ายกัน ISP บางรายอาจเห็นทราฟฟิกที่เข้ารหัสบนพอร์ตอื่นนอกเหนือจากที่คาดไว้ (พอร์ต 443 หรือ HTTPS, 22 สำหรับ SSH และอื่น ๆ ) เป็นความพยายามที่จะซ่อนการเชื่อมต่อ P2P และเค้น (หรือบล็อก) การเชื่อมต่อในลักษณะที่ไม่สะดวก
ฉันเก็บ SSH ไว้ที่พอร์ตมาตรฐานเป็นการส่วนตัวเพื่อความสะดวก ตราบใดที่ยังมีข้อควรระวังตามปกติ (นโยบายรหัสผ่าน / คีย์ที่เข้มงวดการ จำกัด การเข้าสู่ระบบรูท ... ) ไม่จำเป็นต้องกังวลและปัญหาการเติบโตของไฟล์บันทึกเมื่อคุณถูกโจมตีด้วยกำลังดุร้ายสามารถลดลงได้โดยใช้เครื่องมือเช่น เป็น fial2ban เพื่อบล็อกโฮสต์ชั่วคราวที่ให้ข้อมูลรับรองการตรวจสอบความถูกต้องจำนวนมากเกินไปในระยะเวลาที่กำหนด
พอร์ตใดก็ตามที่คุณเลือกถ้าคุณย้ายออกจาก 22 ตรวจสอบให้แน่ใจว่าต่ำกว่า 1024 ภายใต้การตั้งค่า Unix-a-like ส่วนใหญ่ในการกำหนดค่าเริ่มต้นเฉพาะราก (หรือผู้ใช้ในกลุ่มราก) สามารถฟังพอร์ตที่ต่ำกว่า 1024 แต่ผู้ใช้สามารถฟังพอร์ตที่สูงกว่าได้ การเรียกใช้ SSH บนพอร์ตที่สูงขึ้นจะเพิ่มโอกาสของผู้ใช้อันธพาล (หรือที่ถูกแฮ็ค) ที่จัดการเพื่อให้ SSH daemon ของคุณพังและแทนที่ด้วยตัวเองหรือพรอกซี
มันเป็นความง่าย ( แต่มีประสิทธิภาพที่น่าแปลกใจ) รูปแบบของการรักษาความปลอดภัยผ่านความสับสน
หากเซิร์ฟเวอร์ SSH ของคุณไม่ได้อยู่ที่พอร์ต 22 มีโอกาสน้อยที่ผู้คนจะสแกนอินเทอร์เน็ตทั้งหมดเพื่อค้นหารหัสผ่านที่อ่อนแอในบัญชีเริ่มต้น หากคุณสแกนทั้งเน็ตคุณไม่สามารถตรวจสอบพอร์ตทั้งหมดที่เป็นไปได้ 64k เพื่อค้นหาเซิร์ฟเวอร์ SSH
อย่างไรก็ตามหากมีใครบางคนกำลังเล็งเป้าหมายคุณอย่างเจาะจงเฉพาะเจาะจงก็จะไม่มีประโยชน์เพราะการnmap
สแกนแบบครั้งเดียวอย่างง่ายจะเปิดเผยพอร์ตที่ใช้งานจริง
ในการหลีกเลี่ยงการโจมตีที่โหดร้ายเป็นสิ่งสำคัญเสมอที่จะทำตามขั้นตอนบางอย่าง:
ใช่มันมีประโยชน์เพราะมันช่วยหลีกเลี่ยงการโจมตีด้วยกำลังดุร้ายและช่วยให้บันทึกชัดเจน :)
สำหรับหมายเลขพอร์ตที่ขึ้นอยู่กับคุณฉันเห็น บริษัท ต่างๆใช้งาน 1291 บ่อยครั้ง ฉันใช้บางอย่างที่สูงกว่าเพื่อช่วยหลีกเลี่ยงสคริปต์บางอย่าง
ไม่อนุญาตให้เข้าสู่ระบบรูท ssh และเปลี่ยนหมายเลขพอร์ตและอาจจะเป็น fail2ban และคุณควรเป็นสีทอง เพิ่ม iptables เพื่อการวัดที่ดีและทำให้คุณมีความทันสมัยอยู่เสมอและคุณไม่ควรมีปัญหาใด ๆ
การใช้พอร์ต ssh ที่ไม่เป็นมาตรฐานจะต้องมีคำอธิบายและเอกสารเพิ่มเติมและการตอบกลับอีเมล "ฉันไม่สามารถเข้าสู่ระบบ" ได้
ฉันพิจารณาถึงประโยชน์ของการรัน sshd บนพอร์ตที่ไม่ได้มาตรฐานสำคัญกว่าปัญหาที่สร้างขึ้น:
ยิ่งไปกว่านั้นถ้าคุณต้องการที่จะเป็นที่น่ารังเกียจจริงๆคุณสามารถเรียกใช้ sshd ปลอม (กับDenyUsers * ) บนพอร์ตมาตรฐาน 22 ในขณะที่ sshd ปกติของคุณทำงานบนพอร์ต 54321 สิ่งนี้จะช่วยให้มั่นใจได้ว่าบอทและผู้บุกรุก พยายามลงชื่อเข้าใช้บริการที่ปฏิเสธการเข้าสู่ระบบทั้งหมดเพราะไม่มีใครคิดว่าจะพยายามค้นหาบริการ sshd จริงของคุณ
2 เซนต์ของฉัน
การทำเช่นนี้ด้วยเหตุผลใดก็ตาม "ความปลอดภัย" เป็นของปลอม มันเป็นตัวอย่างที่ดีที่สุดของความปลอดภัยโดยความสับสนซึ่งไม่ใช่ความปลอดภัย
หากคุณต้องการเก็บบันทึกของคุณให้เบาและสะอาดขึ้นเล็กน้อยใช่แล้วมันมีประโยชน์เพราะคุณจะไม่ได้รับความพยายามมากมายจากการเคาะ / script-kiddy bruteforce
เนื่องจากมีคนไม่ดีมากมายที่สแกน IP ทั้งหมดของเซิร์ฟเวอร์เพื่อหาพอร์ตที่เปิดอยู่เพื่อพยายามใช้ประโยชน์จาก ฉันเคยมีการโจมตีด้วยค้อนบนพอร์ต SSH ของฉันตลอดทั้งวันจนกระทั่งฉันย้ายมันไปยังพอร์ตอื่นและบน IP ที่ไม่ได้เชื่อมโยงกับเว็บไซต์ใด ๆ ของฉันอีกต่อไป
มันมีประโยชน์ในการที่สคริปต์บ็อตที่พยายามโจมตีด้วยรหัสผ่านแบบเดรัจฉานบังคับมักจะเน้นไปที่พอร์ต 22 ดังนั้นการเปลี่ยนพอร์ตมักจะทำให้เกิดปัญหา คุณจะต้องสร้างสมดุลของการลดความเสี่ยงด้วยความเจ็บปวดจากการกำหนดค่าไคลเอนต์ ssh เพื่อเชื่อมต่อกับพอร์ตที่ไม่ได้มาตรฐาน (ไม่ใช่ปัญหาใหญ่มากหากคุณไม่ได้เชื่อมต่อกับผู้ใช้จำนวนมาก)
อีกวิธีหนึ่งคุณสามารถลดความเสี่ยงของเดรัจฉานกำลังโดยการปิดการรับรองความถูกต้องของรหัสผ่านและต้องการการรับรองความถูกต้องของคีย์ RSA แทน
ฉันมักจะไม่เปลี่ยนพอร์ตใน SSHD ดังนั้นฉันจึงไม่สามารถแนะนำหมายเลขอื่นได้ แต่ให้ตรวจสอบรายการพอร์ตที่ใช้กันทั่วไปเพื่อค้นหาหมายเลขอื่น (เช่นหมายเลขที่ไม่ได้ใช้งานอย่างอื่นและอาจถูกสแกน) .
ฉันเปลี่ยน SSHd ของฉันให้ใช้พอร์ต 2222 ทุกคนที่จะต้องเข้าไปในเซิร์ฟเวอร์ของฉันรู้เรื่องนี้และมันก็ไม่เป็นความลับ ไม่มีการรักษาความปลอดภัยอย่างแน่นอนโดยการทำเช่นนี้ (เว้นแต่แฮ็กเกอร์ที่จะเป็นปัญญาอ่อนแน่นอน)
ประโยชน์เดียวที่ฉันได้รับจากสิ่งนี้คือบันทึกการตรวจสอบสิทธิ์ไม่มีการพยายามเข้าสู่ระบบล้มเหลวหลายล้านครั้งสำหรับ 'root', 'alice', 'bob', 'sally', 'sally', 'admin' ฯลฯ
การรักษาความปลอดภัยผ่านความสับสนได้พิสูจน์แล้วว่าไม่มีประโยชน์ฉันมักจะกำหนดค่าการเข้าถึง ssh ด้วยพอร์ตมาตรฐานด้วยเหตุผลทั้งหมดที่กล่าวถึงข้างต้น (ปัญหาไคลเอนต์ในการกำหนดค่าใหม่ปัญหาไฟร์วอลล์และพร็อกซี ฯลฯ )
นอกจากนั้นฉันมักจะปิดการใช้งานการเข้าสู่ระบบและรหัสผ่านของ root และเป็นขั้นตอนสุดท้ายที่ฉันใช้fail2banเพื่อกำจัดข้อความที่น่ารำคาญใน syslog ใน Debian / Ubuntu aptitude install fail2ban
มันเป็นง่ายๆเป็นพิมพ์ การกำหนดค่าเริ่มต้นทำงานได้ค่อนข้างดี แต่ฉันมักจะปรับพารามิเตอร์บางอย่างให้มีข้อ จำกัด มากขึ้นโดยมีเวลาแบนนาน (อย่างน้อยหนึ่งวัน) และมีการตรวจสอบสิทธิ์เพียง 2 ครั้งเท่านั้นที่ล้มเหลวเพื่อเป็นตัวกระตุ้นการห้าม
ฉันจะบอกว่าสิ่งที่คุณปกป้องตัวคุณเองจากการเปลี่ยนพอร์ต SSH คือการสแกนอัตโนมัติซึ่งจะพยายามเข้าถึงโดยใช้ชื่อผู้ใช้ / รหัสผ่านมาตรฐานหากนโยบายรหัสผ่านของคุณแน่นคุณไม่ควรกังวล พวกเขา
หากคุณปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านไปยังเซิร์ฟเวอร์ของคุณ (ซึ่งแนะนำเป็นอย่างยิ่ง) การเปลี่ยนพอร์ต SSH นั้นไร้ประโยชน์อย่างสมบูรณ์ ด้วยการปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน (และจำเป็นต้องมีการตรวจสอบความถูกต้องด้วยคีย์) คุณจะลบความเป็นไปได้ของการพยายามใช้รหัสผ่านแบบไร้เดียงสาดังนั้นคุณจะไม่ได้รับอะไรเลย
หากคุณยังคงอนุญาตให้ใช้การพิสูจน์ตัวตนฐานรหัสผ่านคุณจะปล่อยให้ตัวเองเปิดโอกาสในการพยายามบังคับใช้เดรัจฉานที่ประสบความสำเร็จหรือ - พบมากขึ้นในประสบการณ์ของฉัน - รหัสผ่านของคุณถูกบุกรุกเพราะคุณพิมพ์ลงในขณะที่ใช้ระบบ keylogger
man ssh-keygen
ข้อมูลมากมาย
แม้จะดูเหมือนว่า "ความปลอดภัยโดยความคลุมเครือ" โดยทั่วไปฉันก็ประมาณว่ามันมีเหตุผลตั้งแต่การสแกนพอร์ตที่เป็นไปได้ทั้งหมด (~ 64k) เป็นวิธีที่เสียเวลามากกว่าหนึ่งในนั้น
แต่ฉันสามารถเพิ่มว่า "การเคาะพอร์ต" ดีกว่ามาก
ไม่ใช่คำตอบ แต่ยาวเกินไปสำหรับความคิดเห็นดังนั้นฉันจะสร้าง CW นี้
ฉันเคยคิดเกี่ยวกับสิ่งนี้มาระยะหนึ่งแล้วและได้ข้อสรุปว่ามีความจริงมากมายในสิ่งที่ Juliano พูดในความคิดเห็นต่อคำตอบของ Alnitak อย่างไรก็ตามฉันพบว่าการใช้ SSH บนพอร์ต 22 เพียงทำให้ง่ายเกินไปที่จะปล่อยการโจมตีใด ๆ ก็ตาม
เพื่อแก้ปัญหานี้ฉันจะเรียกใช้เซิร์ฟเวอร์ SSH ภายในของฉันที่พอร์ต 22 และใช้ไฟร์วอลล์เพื่อพอร์ตส่งต่อพอร์ตสูงถึง 22 บนเครื่องเป้าหมาย สิ่งนี้ทำให้ความปลอดภัยบางอย่างผ่านความสับสนในขณะที่ยังคงรักษาความปลอดภัยของพอร์ตต่ำเช่นที่ Juliano ได้ชี้ให้เห็น
การรักษาความปลอดภัยผ่านความสับสนไม่ได้เป็นหลักการที่ฉันมักจะสมัครเป็นสมาชิกและมักจะชี้ให้เห็นว่าการสแกนพอร์ตอย่างง่ายจะเปิดเผยพอร์ตเป้าหมายทำให้ความสับสนนั้นไร้ค่า ในการแก้ปัญหาดังกล่าวไฟร์วอลล์ของฉัน (Smoothwall Express) ทั้งที่ทำงานและที่บ้านใช้สคริปต์ที่เรียกว่า Guardian Active Response ซึ่งเรียกใช้โดยการแจ้งเตือน Snort จากการสังเกตฉันสามารถบอกคุณได้ว่าเมื่อคุณกดพอร์ตที่แตกต่างกันมากกว่า 3 พอร์ตจากแหล่งเดียวกันแพ็กเก็ตของคุณจะถูกดร็อปจนถึงเวลาที่ตั้งค่าไว้ล่วงหน้า สิ่งนี้ทำให้ค่อนข้างยากและใช้เวลานานมากในการเรียกใช้การสแกนพอร์ตทำให้ความสับสนนั้นคุ้มค่ากับบางสิ่ง ในความเป็นจริงสิ่งนี้ทำให้ฉันต้องปิดตัวหลายครั้งในอดีตที่ฉันตั้งค่าการยกเว้นสำหรับที่อยู่ IP (ที่บ้านหรือที่ทำงาน) ของฉัน
ปัญหาที่คุณมีคือไฟร์วอลล์ถูกตั้งค่าให้อนุญาตเฉพาะการเชื่อมต่อของ IP และเจ้านายก็เบื่อที่จะเปิด IP เฉพาะเมื่อเขาออกไปข้างนอก หากคุณล็อกไอพีบางตัวที่ไฟร์วอลล์นั่นอาจเป็นความเจ็บปวดในตูด
ฉันคิดถึงสองสิ่งนี้ การเปลี่ยนพอร์ตป้องกันการโจมตีอัตโนมัติ เกี่ยวกับมัน แต่ส่วนใหญ่ของปริมาณการโจมตีเฉลี่ยที่นั่น ... สคริปต์อัตโนมัติสแกนเครือข่าย หากคุณเปลี่ยนพอร์ตเริ่มต้นการโจมตีเหล่านั้นก็จะไม่ส่งผลใด ๆ ดังนั้นมันสมเหตุสมผลในเรื่องนั้น แต่มันไม่ทำอะไรเลยกับการโจมตีโดยตรงเนื่องจากผู้โจมตีสามารถสแกนจาก Nessus หรือ NMAP เพื่อกำหนดพอร์ตที่คุณใช้หากคุณมีเพื่อนตัวน้อยพิเศษที่เกลียดคุณมากพอ
ประการที่สองถ้าคุณใช้เซิร์ฟเวอร์ที่เหมือน UNIX คุณสามารถติดตั้งยูทิลิตี้อย่าง Denyhosts เพื่อหยุดการโจมตี หากคุณติดตั้ง denyhosts มันจะตรวจสอบความพยายามในการเข้าสู่ระบบที่ไม่ถูกต้องและหลังจากความพยายามที่ล้มเหลว (สิ่งที่คุณกำหนดหมายเลข) จะถูกแบน IP ในช่วงเวลาที่คุณระบุ Denyhosts ยังสามารถพูดคุยกับโฮสต์ denyhost อื่น ๆ และส่งต่อไปยังรายชื่อแบนดังนั้นหากผู้โจมตีถูกล็อกจากระบบ Linux ของ Fred ในมอนทานาระบบของคุณก็จะได้รับ IP นั้นสำหรับการแบน มีประโยชน์มากตราบใดที่ผู้ใช้ของคุณจำรหัสผ่านได้
ทุกอย่างขึ้นอยู่กับสถานการณ์การใช้งานของคุณ มีกี่โปรแกรมที่มี "ความเจ็บปวดในตูด" สำหรับเปลี่ยนพอร์ตการเชื่อมต่อสำหรับ SSH / SCP (และถ้าพวกเขาไม่อนุญาตหรือทำให้มันเจ็บปวดคุณต้องพิจารณาเปลี่ยนผู้ขายด้วยตนเอง) ถ้ามันเป็นเพียงความกลัวที่อาจเกิดขึ้นฉันจะบอกว่ามันไม่ใช่ปัญหา และนี่คือหัวหน้าของคุณขอสิ่งที่ไม่แปลกประหลาดอย่างสิ้นเชิงเพราะผู้ดูแลระบบจำนวนมากพลิกพอร์ต SSH (ด้วยความสะเพร่าจากคนที่เกลียดสิ่งใดก็ตามที่มีกลิ่นความปลอดภัยแม้จะเลือนลาง ... เสียงพื้นหลัง cruft จากการสแกนอัตโนมัติ)
ต้ม - เปลี่ยนพอร์ตบล็อกสคริปต์อัตโนมัติและการรับส่งข้อมูลที่ไม่ดีส่วนใหญ่ จะไม่หยุดโจมตีผู้กำกับ พิจารณาติดตั้งยูทิลิตี้ห้ามอัตโนมัติเช่นกัน ความปลอดภัยในเลเยอร์จะไม่ทำร้ายคุณหากทำอย่างถูกต้องและการเปลี่ยนพอร์ตช่วยได้มากกว่าความเจ็บปวดในสถานการณ์ส่วนใหญ่
ฉันใช้ SSH บนพอร์ต> 1024 มานานกว่า 5 ปีแล้ว ตั้งแต่นั้นมาฉันไม่เห็นการพยายามสแกนพอร์ตในไฟล์บันทึกของฉัน (ยกเว้นจากตัวฉันเอง) มีเซิร์ฟเวอร์ของฉันซึ่งฉันเป็นผู้ดูแลที่ใช้พอร์ต> 1024
เซิร์ฟเวอร์ SSH จำนวนมากที่ทำงานบนพอร์ต> 1024 มีเว็บไซต์ของตัวเองซึ่งเป็นที่นิยมมาก
หากเซิร์ฟเวอร์ SSH ทำงานใน บริษัท ของฉันเองฉันอาจโพสต์ที่อยู่ IP ของเซิร์ฟเวอร์นั้นในที่นี่เพื่อให้พวกคุณสามารถแฮ็คเซิร์ฟเวอร์ได้ น่าเสียดายเซิร์ฟเวอร์ SSH ไม่ใช่ของฉันเอง ;-)
แต่มีสิ่งอื่น ๆ ที่คุณจะต้องตั้งค่าเพื่อให้ปลอดภัย SSH> 1024 เพียงอย่างเดียวอาจไม่เพียงพอ หมายเลขพอร์ตจะต้องไม่อยู่ใน / etc / services ต้องใช้การส่งต่อพอร์ต (เช่นพอร์ต 1124-> 22) การเข้าถึงโดยตรงไปยังรูทจะต้องปิดการใช้งานและสิ่งอื่น ๆ
ดังนั้นหากคุณต้องการโต้แย้งให้เรียกใช้ SSH บนพอร์ต> 1024 มากกว่าสองสามปี
p / s: 1124 ไม่ใช่พอร์ต SSH ของฉัน ฮ่าฮ่า
ฉันเดาว่าคุณยังไม่ได้ค้นพบพอร์ตที่มีประโยชน์อื่น ๆ
การย้าย SSH ไปยังพอร์ตอื่นทำให้รู้สึกถึงความปลอดภัย แต่ไม่มากนัก แน่นอนเพื่อที่จะทำเช่นนั้นคุณจะต้องควบคุมไฟร์วอลล์ของคุณ แต่นั่นไม่ใช่ปัญหาสำหรับคุณ สิ่งที่ฉันคิดว่าไม่ได้รับประโยชน์จากการย้ายพอร์ตคือการเปิดช่วงที่ยอมรับได้ - ในความเป็นจริงฉันจะบอกว่ามันเป็นมากกว่าการยกเลิกผลประโยชน์และเปิดเผยคุณมากกว่าที่คุณเป็นในวันนี้ ฉันแน่ใจว่าคุณสามารถโน้มน้าวเขาให้ย้ายพอร์ตและลดช่วงขาเข้าอย่างมีนัยสำคัญโดยการรวบรวมรายการของจุดเข้าที่น่าจะเป็นแทนที่จะเปิดพวกเขาทั้งหมด
การเปลี่ยนพอร์ต ssh ของคุณเป็นการฝึกแบบไม่มีจุดหมายที่ซื้อความปลอดภัยที่ จำกัด ให้คุณเท่านั้น คุณจะดีกว่าการปิดใช้งานการรับรองความถูกต้องของรหัสผ่านซึ่งจะช่วยลดความเสี่ยงของการพยายามใช้รหัสผ่านแบบไม่ จำกัด หากสภาพแวดล้อมของคุณต้องการการรับรองความถูกต้องของรหัสผ่านให้ใช้กลไกสองปัจจัยบางอย่างเช่น SecurID หรือ Wikid
ทั้งสองสิ่งนี้ให้ความปลอดภัยเพิ่มขึ้นอย่างแท้จริงในขณะที่การเปลี่ยนพอร์ต ssh จะให้ภาพลวงตาของความปลอดภัยเท่านั้น
นี่เป็นประโยชน์จริง ๆ : ฉันใช้เซิร์ฟเวอร์ ssh ส่วนตัวที่เปิดเผยต่อสาธารณะนานกว่าสี่ปีด้วยการเปลี่ยนพอร์ต SSH และฉันไม่ได้พยายามสแกนรหัสผ่านเพียงครั้งเดียว เพื่อคุณภาพ QA นี้ฉันเพิ่งเปิดใช้งาน 22 กลับมาหนึ่งในนั้นสำหรับหนึ่งวัน ผลก็คือฉันถูกสแกนประมาณทุกๆ 10 นาทีด้วยความถี่ความพยายามรหัสผ่านประมาณ 5 ต่อวินาที นอกจากนี้ "scan kiddies" ยังค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่ OpenSSH บางช่อง
แน่นอนนี่คือการรักษาความปลอดภัยโดยความสับสนซึ่งไม่ได้ช่วยหากคุณมีศัตรู
มันใช้งานได้ดีโดยไม่คำนึงถึงฝูงชน "ความปลอดภัยผ่านความสับสน"
กระต่ายโง่ความปลอดภัยทั้งหมดคือการรักษาความปลอดภัยผ่านความสับสน เพียงเพราะคุณเชื่อว่าโปรโตคอล crypto ที่คลุมเครือ Z [ต้องการการรวมกันของตัวอย่าง DNA, คีย์ที่ใช้ร่วมกันและเป็นไปไม่ได้ที่จะพิมพ์ด้วยรหัสผ่านของมนุษย์] นั้นปลอดภัยจริง ๆ ไม่ได้ทำให้เป็นเช่นนั้น ความจริงก็คือมาตรการรักษาความปลอดภัยใด ๆ และทั้งหมดขึ้นอยู่กับความน่าจะเป็นและข้อสันนิษฐานของผู้ใช้ เลวร้ายเกินไปสำหรับคุณถ้าฉันรู้วิธีใช้ประโยชน์จากข้อสันนิษฐานนั้น แต่มันมีอยู่
อย่างไรก็ตาม,
เราได้ทำสิ่งนี้มาหลายปีพร้อมกับ a) จำกัด อัตราความพยายามในการเชื่อมต่อ (แต่ฉันไม่รู้วิธีที่เราตั้งค่าบางอย่างใน ssh config) และ b) สคริปต์เพื่อห้ามโฮสต์ใด ๆ ที่โจมตีด้วยพจนานุกรมมากกว่า X ผิดคาดเดาใน Y นาที เราแบนโฮสต์ที่ทำการเชื่อมต่อเป็นระยะเวลาหนึ่งและทำให้ง่ายขึ้นในการปรับให้เข้ากับโทโพโลยีของการเปลี่ยนเครือข่าย
หากรหัสผ่านของคุณซับซ้อนเพียงพอและสามารถทำได้เพียง 3 ครั้งใน 15 นาทีไม่มีอะไรน่ากลัว มันไม่ยากที่จะเฝ้าดูการโจมตีแบบกระจายเช่นกัน - โดยปกติเรามักจะตรวจสอบโดย subnet และ ip เพื่อแยกแยะสิ่งนั้นออกมา
ในที่สุดสิ่งที่คุณต้องมีคือวิธีการกระรอกลับที่จะอนุญาตการเชื่อมต่อกับพอร์ตของคุณโดยการแก้ไขกฎ f / w มันสามารถเป็นอะไรก็ได้ ... smtp, เว็บ, การค้นหา DNS เวทมนตร์ ข้อมูลอย่าง SecurID หรือ Wikid เพียงแค่ส่งข้อมูลเพิ่มเติมให้กับบุคคลที่สาม และอย่าให้ฉันเริ่มต้นกับใบรับรองที่ปลอดภัยผ่านบุคคลที่สาม