डिफ़ॉल्ट ssh पोर्ट क्यों बदलें? [बन्द है]

मैंने देखा है कि बहुत सारे व्यवस्थापक डिफ़ॉल्ट ssh पोर्ट बदलते हैं।

क्या ऐसा करने का कोई तर्कसंगत कारण है?

यह उतना उपयोगी नहीं है जितना कि कुछ लोग दावा करते हैं, लेकिन यह कम से कम आपकी लॉग फ़ाइलों पर प्रभाव को कम कर देगा क्योंकि कई ब्रूट बल लॉगिन प्रयास केवल स्कैनिंग के बजाय डिफ़ॉल्ट पोर्ट का उपयोग करते हैं यह देखने के लिए कि क्या एसएसएच कहीं और सुन रहा है। कुछ हमले एसएसएच के लिए कहीं और स्कैन करेंगे, इसलिए यह कोई चांदी की गोली नहीं है।

यदि आपका सर्वर आपकी परियोजनाओं की जरूरतों को पूरा करने के बजाय किसी प्रकार का साझा होस्ट बनने जा रहा है, तो एक गैर-डिफ़ॉल्ट पोर्ट का उपयोग करना एक दर्द हो सकता है, क्योंकि आपको इसे अपने उपयोगकर्ताओं को बार-बार समझाना होगा। जब वे भूल जाते हैं और उनके ग्राहक कार्यक्रम पोर्ट 22 से जुड़ने में विफल हो जाते हैं!

एक गैर-मानक पोर्ट पर SSH के साथ एक और संभावित समस्या यह है कि यदि आप एक क्लाइंट को एक प्रतिबंधात्मक आउट-गो फिल्टर सेट के साथ सामना करते हैं, जो आपके कस्टम पोर्ट से कनेक्ट नहीं हो सकता है क्योंकि उनका फ़िल्टर केवल अनुमति देता है, उदाहरण के लिए, पोर्ट 22, 53, 80 और 443 नए आउट-गो कनेक्शन के लिए गंतव्य होना चाहिए। यह असामान्य है, लेकिन निश्चित रूप से अनसुना नहीं है। इसी तरह के एक मामले पर, कुछ आईएसपी एक पोर्ट पर एन्क्रिप्टेड ट्रैफ़िक को देख सकते हैं, जहां आम तौर पर अपेक्षित (पोर्ट 443 या एचटीटीपीएस, एसएसएच के लिए 22, और इसी तरह) एक पी 2 पी कनेक्शन और थ्रॉटल (या ब्लॉक) छिपाने के प्रयास के अलावा अन्य पोर्ट दिखाई देते हैं। एक असुविधाजनक तरीके से कनेक्शन।

मैं व्यक्तिगत रूप से सुविधा के लिए मानक बंदरगाह पर एसएसएच रखता हूं। जब तक सामान्य सावधानी बरती जाती है (मजबूत पासवर्ड / कुंजी नीति, रूट लॉगइन को प्रतिबंधित करना, ...) यह एक चिंता का विषय नहीं है और जब आप एक क्रूर बल के हमले से प्रभावित होते हैं तो लॉग फाइल वृद्धि का मुद्दा उपकरण जैसे उपकरणों का उपयोग करके कम किया जा सकता है। अस्थायी रूप से होस्ट को ब्लॉक करने के लिए fial2ban के रूप में जो कि किसी दिए गए स्थान में प्रमाणीकरण क्रेडेंशियल्स के बहुत सारे खराब सेट देता है।

आपने जो भी पोर्ट चुना है, यदि आप 22 से दूर जाते हैं, तो सुनिश्चित करें कि यह 1024 से नीचे है। उनके डिफ़ॉल्ट कॉन्फ़िगरेशन में अधिकांश यूनिक्स-ए-जैसे सेटअप के तहत, केवल रूट (या रूट समूह के उपयोगकर्ता) 1024 से नीचे के पोर्ट पर सुन सकते हैं। लेकिन कोई भी उपयोगकर्ता उच्च बंदरगाहों पर सुन सकता है। अधिक पोर्ट पर SSH चलाने से आपके SSH डेमॉन को क्रैश करने और इसे अपने स्वयं या प्रॉक्सी से बदलने का प्रबंधन करने वाले एक दुष्ट (या हैक किए गए) उपयोगकर्ता की संभावना बढ़ जाती है।

यह अस्पष्टता के माध्यम से सुरक्षा का एक सरल (लेकिन आश्चर्यजनक रूप से प्रभावी) रूप है ।

यदि आपका SSH सर्वर 22 पोर्ट पर नहीं है, तो यह उन लोगों द्वारा पाया जाने की संभावना कम है, जो डिफ़ॉल्ट खातों पर कमजोर पासवर्ड की तलाश में पूरे इंटरनेट को स्कैन करते हैं। यदि आप पूरे नेट को स्कैन कर रहे हैं तो आप SSH सर्वर को खोजने के लिए सभी 64k संभावित पोर्ट की जांच नहीं कर सकते।

हालांकि अगर कोई आपको सक्रिय रूप से लक्षित कर रहा है तो यह विशेष रूप से कोई लाभ नहीं प्रदान करता है, क्योंकि एक साधारण एक-बंद nmapस्कैन उस पोर्ट को प्रकट करेगा जिस पर वह वास्तव में चल रहा है।

वास्तव में क्रूर हमलों से बचने के लिए, कुछ चरणों का पालन करना हमेशा महत्वपूर्ण होता है:

• Denyhosts या विफल 2ban स्थापित करें
• Ssh पोर्ट पर प्रति सेकंड कनेक्शन की सीमा
• Ssh पोर्ट बदलें
• अस्वीकृत रूट लॉगिन
• पासवर्ड के बजाय कुंजी द्वारा प्रमाणीकरण सक्षम करें

हाँ यह उपयोगी है क्योंकि यह सिर्फ सभी क्रूर बल के हमलों से बचने में मदद करता है और लॉग को साफ रखने में मदद करता है :)

पोर्ट नंबर के लिए जो आपके ऊपर है, मैंने देखा है कि कंपनियां अक्सर 1291 का उपयोग करती हैं। मैं कुछ उच्च का उपयोग करता हूं, हालांकि सिर्फ कुछ लिपियों से बचने में मदद करने के लिए।

रूट एसएचएन लॉगिन की अनुमति नहीं है और पोर्ट नंबर और शायद फेल 2 एबन जैसी कुछ भी नहीं है और आपको सुनहरा होना चाहिए। अच्छे उपाय के लिए iptables जोड़ें और आपको अद्यतित रखें और आपको किसी भी प्रकार की समस्या नहीं होनी चाहिए।

गैर-मानक ssh पोर्ट का उपयोग करने के लिए अधिक स्पष्टीकरण और दस्तावेज़ीकरण की आवश्यकता होगी, और उत्तर देना "मैं लॉग इन नहीं कर सकता" ईमेल।

मैं गैर-मानक पोर्ट पर sshd चलाने के निम्नलिखित लाभों पर विचार करता हूं जो इसके द्वारा पैदा की जाने वाली समस्याओं से अधिक महत्वपूर्ण हैं:

• 99.9999% जानवर बल के हमले बॉट द्वारा किए जाते हैं जो केवल पोर्ट 22 की तलाश करते हैं और कभी भी गैर-मानक पोर्ट की खोज करने की कोशिश में बर्बाद नहीं करते हैं। ब्रूट-फोर्स अटैक और डेनिहोस्ट्स या फेल 2 ब्बन जैसे काउंटर-उपाय संसाधनों का उपभोग करते हैं, जिन्हें आप केवल गैर-मानक पोर्ट पर ssh सर्वर चलाकर बचाएंगे।
• आप अपने सिस्टम में टूटने की कोशिश कर रहे बॉट्स के बारे में सभी बेकार रिपोर्टों से छुटकारा पा लेंगे। यदि कोई भी आईपी विफल लॉगिन रिपोर्ट में दिखाई देता है, तो संभावना है कि यह एक मानव है।

इसके अलावा, यदि आप वास्तव में गंदा होना चाहते हैं, तो आप हमेशा मानक बंदरगाह 22 पर एक नकली sshd ( DenyUsers * के साथ ) चला सकते हैं , जबकि आपका नियमित sshd 54321 पोर्ट पर चलता है। यह आपको आश्वस्त करेगा कि सभी बॉट और घुसपैठिए- wannabes अनंत काल तक रहेंगे सभी लॉगिन से इनकार करने वाली सेवा में प्रवेश करने का प्रयास करें, क्योंकि कोई भी कभी भी आपकी वास्तविक sshd सेवा को खोजने का प्रयास नहीं करेगा ।

मेरे 2 सेंट।

किसी भी "सुरक्षा" कारण के लिए ऐसा करना संगीन है। यह अस्पष्टता द्वारा सुरक्षा का सबसे अच्छा उदाहरण है जो सुरक्षा नहीं है।

यदि आप अपने लॉग को थोड़ा हल्का और साफ रखना चाहते हैं, तो हाँ यह उपयोगी है क्योंकि आपको अधिक पोर्ट नॉकिंग / स्क्रिप्ट-किडनी ब्रूटफोर्स प्रयासों के रूप में नहीं मिलेगा।

मैं मानक पोर्ट पर ssh चलाऊँगा और शब्दकोश हमलों की संख्या को सीमित करने के लिए fail2ban या denyhosts जैसी किसी चीज़ का उपयोग करूँगा ।

एक अन्य विकल्प पासवर्ड altogheter के साथ लॉगिन को अक्षम करना है और केवल ssh-keys के साथ लॉगिन की अनुमति है।

क्योंकि वहाँ बहुत सारे बुरे लोग हैं जो शोषण करने के प्रयास में खुले बंदरगाहों के लिए सभी सर्वर आईपी को स्कैन करते हैं। मैं अपने SSH पोर्ट पर दिन भर हथौड़े के हमले करता रहता था, जब तक कि मैं इसे दूसरे पोर्ट पर नहीं ले जाता और एक IP पर जो अब तक मेरी किसी भी वेबसाइट से जुड़ा नहीं था।

यह उस लिपि-बॉट में उपयोगी है, जो आमतौर पर पोर्ट 22 पर ध्यान केंद्रित करने वाले ब्रूट-बल पासवर्ड-अटैकिंग हमलों की कोशिश करता है, इसलिए पोर्ट को बदलना आमतौर पर उन्हें फेंक देता है। आपको गैर-मानक पोर्ट से कनेक्ट करने के लिए ssh क्लाइंट को कॉन्फ़िगर करने के दर्द के साथ उस जोखिम को कम करने के मूल्य को संतुलित करने की आवश्यकता होगी (यदि आप बहुत से उपयोगकर्ताओं को कनेक्ट नहीं कर रहे हैं, तो बहुत बड़ा दर्द नहीं है)।

वैकल्पिक रूप से, आप पासवर्ड प्रमाणीकरण बंद करके और इसके बजाय RSA- कुंजी प्रमाणीकरण की आवश्यकता के द्वारा जानवर बल जोखिम को कम कर सकते हैं।

मैं आमतौर पर SSHD पर पोर्ट नहीं बदलता, इसलिए मैं दूसरी संख्या का सुझाव नहीं दे सकता, लेकिन किसी अन्य नंबर को खोजने के लिए आमतौर पर उपयोग किए जाने वाले पोर्ट की सूची की जांच करें (यानी वह जो किसी और चीज के उपयोग में नहीं है, और इस तरह स्कैन किया जा सकता है) ।

मैं हमेशा पोर्ट 2222 का उपयोग करने के लिए अपने एसएसएचडी को बदलता हूं, हर किसी को जो मेरे सर्वर में आने की आवश्यकता होगी, यह जानता है और यह कोई रहस्य नहीं है। ऐसा करने से कोई सुरक्षा लाभ नहीं होता है (जब तक कि हैकर निरपेक्ष मानस नहीं हो सकता)।

इसका एकमात्र लाभ मुझे यह मिलता है कि ऑर्टिकल लॉग में 'रूट', 'एलिस', 'बॉब', 'सैली', 'एडमिन' इत्यादि के लिए एक लाख असफल लॉगिन प्रयास नहीं हैं।

अस्पष्टता के माध्यम से सुरक्षा बेकार साबित हुई है, आमतौर पर मैं उपरोक्त सभी कारणों के लिए मानक पोर्ट के साथ एसएचएस एक्सेस को कॉन्फ़िगर करता हूं (पुन: संयोजन, फ़ायरवॉल और प्रॉक्सी मुद्दों, आदि में क्लाइंट समस्याएं)।

इसके अलावा, मैं हमेशा रूट लॉगिन और पासवर्ड प्रमाणीकरण को अक्षम करता हूं और अंतिम चरण के रूप में मैं sslog में उस कष्टप्रद संदेशों से छुटकारा पाने के लिए fail2ban का उपयोग करता हूं । डेबियन / उबंटू में यह टाइपिंग जितना सरल है aptitude install fail2ban। डिफ़ॉल्ट कॉन्फ़िगरेशन बहुत अच्छी तरह से काम करता है, लेकिन मैं आमतौर पर प्रतिबंध के समय को कम करने के लिए अधिक प्रतिबंधक होने के लिए कुछ मापदंडों को ट्यून करता हूं (कम से कम एक दिन) और प्रतिबंध के लिए ट्रिगर के रूप में केवल 2 विफल प्रमाणीकरण प्रयास।

मैं कहूंगा कि SSH पोर्ट को बदलने के दौरान आप जिस चीज़ की सबसे अधिक बचत करते हैं, वह स्वचालित स्कैन होती है, जो मानक उपयोगकर्ता नाम / पासवर्ड का उपयोग करके कोशिश और लाभ प्राप्त करेगी, यदि आपकी पासवर्ड नीतियां तंग हैं, तो आपको चिंता करने की ज़रूरत नहीं है। उन्हें।

यदि आप अपने सर्वर (जो अत्यधिक अनुशंसित है) में पासवर्ड लॉगिन को अक्षम करते हैं, तो एसएसएच पोर्ट को बदलना पूरी तरह से बेकार है। पासवर्ड लॉगिन (और कुंजी-आधारित प्रमाणीकरण की आवश्यकता) को अक्षम करने से, आप ब्रूट-फोर्स पासवर्ड प्रयासों की संभावना को हटा देते हैं, इसलिए आप पोर्ट नंबर के बारे में वायदा करके कुछ भी हासिल नहीं कर रहे हैं।

यदि आप पासवर्ड आधार प्रमाणीकरण की अनुमति देना जारी रखते हैं, तो आप अपने आप को एक सफल जानवर बल प्रयास की संभावना के लिए खुला छोड़ रहे हैं - या अधिक सामान्य, मेरे अनुभव में - आपके पासवर्ड से समझौता किया जा रहा है क्योंकि आप इसे किसी सिस्टम का उपयोग करते समय टाइप करते हैं एक keylogger।

आम तौर पर "अस्पष्टता से सुरक्षा" की तरह दिखने के बावजूद, मैं इसका अनुमान लगा सकता हूं क्योंकि सभी संभावित बंदरगाहों (~ 64k) को स्कैन करने का एक तरीका है, उनमें से सिर्फ एक की तुलना में अधिक समय महंगा है।

लेकिन मैं यह जोड़ सकता हूं कि "पोर्ट दस्तक" बहुत बेहतर है।

एक उत्तर नहीं बल्कि एक टिप्पणी के लिए बहुत लंबा है, इसलिए मैं इसे सीडब्ल्यू बनाऊंगा।

मैं थोड़ी देर के लिए इस बारे में सोच रहा था और इस नतीजे पर पहुंचा हूं कि अलनीतक के जवाब में जूलियानो ने जो कहा है, उसमें बहुत सच्चाई है। फिर भी, मुझे पता है कि पोर्ट 22 पर एसएसएच चलाने से सिर्फ इसके खिलाफ किसी भी तरह के हमलों को शुरू करना बहुत आसान हो जाता है।

इस समस्या को हल करने के लिए मैं अपने आंतरिक एसएसएच सर्वर को पोर्ट 22 पर चलाता हूं और लक्ष्य मशीनों पर उच्च बंदरगाह को 22 पर पोर्ट करने के लिए फ़ायरवॉल का उपयोग करता हूं। यह कम पोर्ट की सुरक्षा को बनाए रखते हुए अस्पष्टता के माध्यम से कुछ सुरक्षा देता है, जैसा कि जूलियानो ने बताया है।

अस्पष्टता के माध्यम से सुरक्षा एक सिद्धांत नहीं है जिसे मैं आमतौर पर सदस्यता देता हूं और यह अक्सर बताया जाता है कि एक साधारण पोर्ट स्कैन लक्ष्य पोर्ट को प्रकट करेगा, जिससे अस्पष्टता बेकार हो जाएगी। उस काम को हल करने के लिए मेरे फायरवॉल (स्मूथवॉल एक्सप्रेस), काम पर और घर पर, गार्जियन एक्टिव रिस्पोंस नामक एक स्क्रिप्ट का उपयोग करें, जो कि स्नॉर्ट अलर्ट द्वारा ट्रिगर किया गया है। अवलोकन से मैं आपको बता सकता हूं कि जब आप एक ही स्रोत से 3 से अधिक अलग-अलग पोर्ट मारते हैं तो आपके पैकेट प्रीसेट रीसेट समय तक छोड़ दिए जाते हैं। यह पोर्ट स्कैन को चलाने में अधिक कठिन और अत्यधिक समय लेने वाला बनाता है, जिससे अस्पष्टता वास्तव में कुछ के लायक हो जाती है। यह वास्तव में मुझे अतीत में कई बार बंद हो जाने के कारण हुआ है कि मैंने अपने स्रोत (घर या कार्यालय) आईपी पते के लिए एक बहिष्करण निर्धारित किया है।

आपके पास समस्या यह है कि फ़ायरवॉल केवल कुछ IP को कनेक्ट करने की अनुमति देने के लिए सेट है, और बॉस विशिष्ट IP के खुलने पर थक जाता है, जब वह बाहर होता है और उसके बारे में। यदि आप फ़ायरवॉल पर कुछ IP को बंद कर रहे हैं, तो गधे में दर्द हो सकता है।

दो बातें मैं यहां सोचता हूं। पोर्ट को बदलना स्वचालित हमलों से बचाता है। यह इसके बारे में है, लेकिन यह औसत हमले के ट्रैफ़िक का एक बड़ा हिस्सा है ... स्वचालित स्क्रिप्ट स्कैनिंग नेटवर्क। यदि आप डिफ़ॉल्ट पोर्ट बदलते हैं, तो उन हमलों को कुछ भी नहीं करने के लिए सही छोड़ देना चाहिए। तो यह उस संबंध में समझ में आता है। लेकिन यह एक निर्देशित हमले के खिलाफ कुछ भी नहीं करता है, क्योंकि हमलावर नेसस या एनएमएपी से केवल यह निर्धारित करने के लिए स्कैन कर सकता है कि आप किस पोर्ट का उपयोग कर रहे हैं यदि आपके पास एक विशेष छोटा दोस्त है जो आपसे काफी नफरत करता है।

दूसरा, यदि आप UNIX- जैसे सर्वर का उपयोग कर रहे हैं, तो आप हमलों को रोकने के लिए Denyhosts जैसी उपयोगिता स्थापित कर सकते हैं। यदि आप डेनिहोस्ट स्थापित करते हैं, तो यह गलत लॉगिन प्रयासों के लिए मॉनिटर करता है और (जो भी आप संख्या निर्धारित करते हैं) विफल प्रयास करते हैं, यह आपके द्वारा निर्दिष्ट अवधि के लिए आईपी पर प्रतिबंध लगाएगा। डेनिहोस्ट अन्य डेनिहोस्ट मेजबानों से भी बात कर सकते हैं और प्रतिबंध सूचियों के साथ पास कर सकते हैं, इसलिए यदि कोई हमलावर मोंटाना में फ्रेड के लिनक्स सिस्टम से लॉक हो जाता है तो आपके सिस्टम को भी प्रतिबंध लगाने के लिए वह आईपी मिल जाएगा। जब तक आपके उपयोगकर्ता अपने पासवर्ड याद रखते हैं तब तक बहुत उपयोगी है।

यह सब आपके उपयोग परिदृश्यों पर निर्भर करता है। आपके पास कितने प्रोग्राम हैं जो SSH / SCP के लिए कनेक्शन पोर्ट को बदलने के लिए "गधे में दर्द" है (और यदि वे इसे अनुमति नहीं देते हैं या इसे दर्द नहीं बनाते हैं, तो आपको वास्तव में व्यक्तिगत रूप से विक्रेताओं को बदलने पर विचार करने की आवश्यकता है)। अगर यह सिर्फ एक संभावित डर है तो मैं कहूंगा कि यह एक गैर-मुद्दा है। और यह आपका बॉस है, कुछ के लिए पूछ रहा है जो पूरी तरह से निराला नहीं है क्योंकि बहुत सारे sysadmins एसएसएच पोर्ट फ्लिप करते हैं (कुछ लोगों के साथ जो कुछ भी नफरत करते हैं जो अस्पष्टता के माध्यम से सुरक्षा की बेहोश बदबू आ रही है ... लेकिन वास्तव में वह नीचे नहीं कटता है स्वचालित स्कैन से पृष्ठभूमि का शोर।)

उबला हुआ - पोर्ट को बदलना स्वचालित स्क्रिप्ट और अधिकांश खराब ट्रैफ़िक को रोकता है। निर्देशित हमलावरों को नहीं रोकेंगे। एक स्वचालित प्रतिबंध उपयोगिता स्थापित करने पर भी विचार करें। परतों में सुरक्षा आपको चोट नहीं पहुंचाती है अगर ठीक से किया जाए और बदलते बंदरगाहों से अधिकांश स्थितियों में दर्द होता है।

मैं 5 से अधिक वर्षों से बंदरगाह> 1024 पर SSH चला रहा हूं। तब से, मुझे अपनी लॉग फ़ाइल में (अपने आप को छोड़कर) कोई पोर्ट्सकैन प्रयास दिखाई नहीं दे रहा है। मेरे सर्वर हैं जो मैं प्रशासित करता हूं जो पोर्ट> 1024 का उपयोग करके चलता है।

कई SSH सर्वर जो पोर्ट> 1024 पर चलते हैं, उनकी अपनी वेबसाइटें हैं जो काफी लोकप्रिय हैं।

अगर SSH सर्वर मेरी ही कंपनी में चलता है, तो शायद मैंने पहले ही उस सर्वर का IP पता यहाँ पोस्ट कर दिया है ताकि आप लोग सर्वर में हैक करने की कोशिश कर सकें। दुर्भाग्य से SSH सर्वर मेरा अपना नहीं है। ;-)

लेकिन कुछ अन्य चीजें भी हैं जिन्हें सुरक्षित बनाने के लिए आपको सेटअप करना होगा। SSH> 1024 अकेले पर्याप्त नहीं होंगे। पोर्ट नंबर / etc / सेवाओं में नहीं होना चाहिए, पोर्ट फ़ॉरवर्डिंग (उदाहरण के लिए पोर्ट 1124-> 22) का उपयोग करना चाहिए, रूट की सीधी पहुंच अक्षम होनी चाहिए और अन्य चीज़।

इसलिए, यदि आप बहस करना चाहते हैं, तो कुछ वर्षों के लिए पोर्ट> 1024 पर बेहतर एसएसएच चलाएं।

पी / एस: 1124 मेरा एसएसएच पोर्ट नहीं है। Haha।

मुझे लगता है कि अगर आपको अभी तक पोर्ट की खोज करना आसान है, तो इसके अलावा, नहीं।

अच्छी तरह से SSH को एक अलग पोर्ट पर ले जाने से कुछ समझ में आता है, यह सुरक्षा के साथ मदद करता है लेकिन भारी नहीं। बेशक ऐसा करने के लिए आपको अपने फायरवॉल पर नियंत्रण रखना होगा लेकिन यह आपके लिए कोई समस्या नहीं है। मुझे क्या लगता है कि पोर्ट को हिलाने का लाभ पूर्ववत है, स्वीकृत सीमा का उद्घाटन है - वास्तव में मैं कहूंगा कि यह लाभ से अधिक है और आपको आज की तुलना में आगे बढ़ाता है। मुझे यकीन है कि आप उसे पोर्ट को स्थानांतरित करने के लिए मना सकते हैं और इन सभी को खोलने के बजाय संभावित प्रवेश बिंदुओं की सूची से टकराकर आने वाली सीमा को काफी कम कर सकते हैं।

अपने ssh पोर्ट को बदलना एक व्यर्थ अभ्यास है जो आपको केवल सीमित सुरक्षा खरीदता है। आप पासवर्ड प्रमाणीकरण को अक्षम करने से बेहतर हैं, जो brute-force पासवर्ड प्रयासों के जोखिम को समाप्त करता है, और विशेष रूप से ssh की-आधारित प्रमाणीकरण पर निर्भर करता है। यदि आपके वातावरण को पासवर्ड प्रमाणीकरण की आवश्यकता है, तो कुछ दो-कारक तंत्र को अपनाएं, जैसे कि SecurID या Wikid।

ये दोनों आपको सुरक्षा में वास्तविक वृद्धि देते हैं, जबकि ssh पोर्ट को बदलने से आपको सुरक्षा का भ्रम होता है।

यह व्यावहारिक POV है: मैंने SSH पोर्ट के साथ सार्वजनिक रूप से दृश्यमान निजी ssh सर्वर को चार साल से अधिक समय तक संचालित किया और मेरे पास पासवर्ड स्कैन का एक भी प्रयास नहीं था। इस क्यूए की खातिर मैंने सिर्फ 22 को उनमें से एक दिन के लिए वापस सक्षम किया है। परिणामस्वरूप मुझे हर 10 मिनट में पासवर्ड प्रयास आवृत्ति के साथ लगभग 5 प्रति सेकंड स्कैन किया गया था। इसके अलावा "स्कैन किडिज़" भी कुछ ओपनएसएसएच कमजोरियों वाले सर्वर की तलाश में हैं।

यह सुनिश्चित करने के लिए कि यह अस्पष्टता से सुरक्षा है जो आपके दुश्मन हो जाने पर मदद नहीं करता है।

यह "अस्पष्टता के माध्यम से सुरक्षा" की भीड़ की परवाह किए बिना महान काम करता है।

मूर्ख खरगोश, सभी सुरक्षा अस्पष्टता के माध्यम से सुरक्षा है। सिर्फ इसलिए कि आप मानते हैं कि अस्पष्ट क्रिप्टो प्रोटोकॉल Z [डीएनए नमूनों, साझा कुंजियों के संयोजन की आवश्यकता है और मानव पासवर्ड द्वारा वास्तव में टाइप करना असंभव है] वास्तव में सुरक्षित है इसलिए ऐसा नहीं होता है। सच्चाई यह है कि कोई भी और सभी सुरक्षा उपाय उपयोगकर्ताओं द्वारा संभाव्यता और मान्यताओं पर निर्भर करते हैं। आपके लिए बहुत बुरा है अगर मुझे पता है कि उस धारणा का फायदा कैसे उठाया जाए, लेकिन यह है।

वैसे भी,

हमने वर्षों तक ऐसा किया है, साथ ही) कनेक्शन प्रयासों को सीमित करने की दर (हालांकि, मुझे पता नहीं है कि हम इसे कैसे सेट करते हैं, ssh config में कुछ), और b) किसी भी होस्ट पर प्रतिबंध लगाने के लिए एक स्क्रिप्ट जो डिक्शनरी अटैक से अधिक है Y मिनट में X गलत अनुमान लगाता है। हम समय की अवधि के लिए संबंध बनाने वाले मेजबान पर प्रतिबंध लगाते हैं, और यह बदलते नेटवर्क की टोपोलॉजी के लिए अनुकूल बनाना आसान बनाता है।

यदि आपके पासवर्ड पर्याप्त रूप से जटिल हैं, और वे केवल 15 मिनट में 3 प्रयास कर सकते हैं, तो डरने के लिए बहुत कुछ नहीं है। वितरित हमलों के लिए यह देखना उतना मुश्किल नहीं है, या तो - हम आमतौर पर सबनेट और आईपी से टकराते हैं ताकि उस तरह की चीज को नियंत्रित किया जा सके।

अंत में, आपको f / w नियमों को संशोधित करके अपने पोर्ट से कनेक्शन की अनुमति देने के लिए कुछ गुप्त गिलहरी विधि की आवश्यकता है। यह कुछ भी हो सकता है ... smtp, web, मैजिक डीएनएस प्रश्न SecurID या Wikid जैसे सामान केवल तीसरे पक्ष को अधिक जानकारी के लिए सौंपते हैं। और मुझे तीसरे पक्ष के माध्यम से सुरक्षित प्रमाणपत्रों पर शुरू नहीं करें।