OpenSSH सर्वर गैर-मानक पोर्ट को सुन रहा है - अनुशंसित है या नहीं?

1

क्या गैर-मानक पोर्ट पर sshd सुनने की सिफारिश की गई है? उबंटू समुदाय के दस्तावेज में एक पंक्ति है जो बताता है:

यह एक गैर-मानक बंदरगाह पर सुनने के लिए अनुशंसित नहीं है।

यह इस पृष्ठ पर है । मैंने हमेशा इस अभ्यास का पालन किया है और कभी कोई समस्या नहीं हुई। क्या आप किसी भी स्थिति को निर्दिष्ट कर सकते हैं जहां गैर-मानक बंदरगाह एक अच्छा विचार नहीं होगा।

linux  ssh  openssh 
चिंतन
स्रोत
यह वास्तव में इस बात पर निर्भर करता है कि - यदि इसे छिपाने के लिए, शायद नहीं। यदि किसी विशेष एप्लिकेशन के लिए एक विशेष सेवा स्थापित करने के लिए, तो शायद यह वही है जो आपको चाहिए।
शैनन नेल्सन

जवाबों:

4

यदि आपके पास एक मशीन है जो आप चाहते हैं कि कई लोग SSH में सक्षम हों, तो एक गैर-मानक पोर्ट पर चलना उनके लिए और अधिक भ्रमित कर सकता है।

यदि यह सिर्फ आप है, हालांकि, 22 के अलावा अन्य पोर्ट पर चलने में कोई वास्तविक कमियां नहीं हैं (यह मानते हुए कि आप पोर्ट नंबर को याद रख सकते हैं) और यह डिक्शनरी प्रयासों की संख्या को बहुत कम कर देगा, जो आपको डिक्शनरी हमले करने वाले बॉट से मिलते हैं।

ज़ैक ऐलान
स्रोत
कोई वास्तविक कमियां नहीं - जब तक कि वह एक पोर्ट का चयन नहीं करता है जो किसी अन्य अनुप्रयोग पर निर्भर करता है।
जॉन टी
आपको अभी भी कनेक्शन के प्रयास मिलेंगे। आप अब उन्हें नहीं देखेंगे, हालाँकि।
इन्नाएम
6

जब आप ssh सर्वर चलाते हैं तो आपको रूट ssh को बंद करना होता है और केवल निजी / सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करना चाहिए। मेरी राय में बंदरगाह को बदलना सुरक्षा का निम्न रूप है।

Spig
स्रोत
मैं प्रमाणीकरण के लिए कुंजियों का उपयोग कर रहा हूं, यह उस दस्तावेज पर टिप्पणी थी जिसने मुझे भ्रमित किया। यह कथन के लिए कोई तर्क नहीं था और मैंने सुना है कि गैर-मानक पोर्ट का उपयोग करना आम तौर पर एक अच्छा विचार है, और निश्चित रूप से सुरक्षा का एकमात्र तरीका नहीं है।
चिन्तन
4

एक गैर-मानक पोर्ट पर SSH चलाना ट्रंक में एक कार में इग्निशन कुंजी स्लॉट को फिर से लगाने के लिए समान है। सुरक्षा हालांकि अस्पष्टता सुरक्षा नहीं है, लेकिन यह रोबोट स्क्रिप्ट को फ़ॉइल करता है जो कि पीछे की सीट के माध्यम से डैश से चल रहे एक्सटेंशन कॉर्ड को देखने के लिए बेवकूफी होती है।

SSH को सुरक्षित करने का सबसे अच्छा तरीका रूट लॉगिन को पूरी तरह से रोकना है, और पासवर्ड लॉगिन को अक्षम करके प्रमुख जोड़े के उपयोग को लागू करना है। इसके अतिरिक्त, आलसी को बाहर न निकालें और पासवर्ड-कम कुंजियाँ बनाएँ।

ब्रूट बल के हमलों से लड़ना, उनसे छुपाने से बेहतर है, आप नहीं चाहते कि सिस्टम में किसी भी सेवा को एक बार में 100 बार रूट के रूप में लॉगिन करने में विफल होने पर वे आईपी की किसी भी सेवा तक पहुँच प्राप्त करें। इसके बजाय इसके लिए लॉग फ़ाइलों की निगरानी करना आसान है और भविष्य के अनुरोधों को अवरुद्ध करने के लिए फ़ायरवॉल टूल्स (iptables) का उपयोग करें।

संयोजन अधिक सुरक्षित है .. और आपको उपयोगकर्ताओं को एक गैर मानक पोर्ट के साथ भ्रमित करने की आवश्यकता नहीं है :)

टिम पोस्ट
स्रोत
Iptables के लिए +1 केवल कुछ आईपी-नंबर की अनुमति देता है।
जोहान
2

इसके साथ कुछ चेतावनी:

  • आप एक ऐसे पोर्ट का चयन कर सकते हैं, जिसका दूसरा अनुप्रयोग पहले से ही उपयोग करता हो
  • कुछ (खराब कोडित) अनुप्रयोगों में यह मान SSH पोर्ट के रूप में हार्डकोड किया जा सकता है, लेकिन अधिकांश लचीला होगा और आपको पोर्ट निर्दिष्ट करने की अनुमति देगा
  • यदि अन्य उपयोगकर्ताओं को एसएसएच एक्सेस दिया जाएगा, तो आपको यह सुनिश्चित करने की आवश्यकता होगी कि आपने देर रात फोन कॉल से परेशान लोगों से बचने के लिए इसे एक अलग पोर्ट पर चलाया है।

यदि ये आपके लिए कोई समस्या नहीं हैं, तो इसके लिए जाएं!

जॉन टी
स्रोत
1

यदि आप एक मानक पोर्ट पर एसएसएच चलाना चाहते हैं, तो अपने आप को एक एहसान करें और ब्लॉकहोस्ट स्थापित करें। इसे स्थापित करें, इसे कॉन्फ़िगर करें, इसे क्रोन में जोड़ें और आपको अधिकांश भाग के लिए सुरक्षित होना चाहिए। कम से कम सभी जानवर बल प्रयास उपयोगी नहीं होंगे।

नताली एडम्स
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.