डिफ़ॉल्ट ssh पोर्ट क्यों बदलें?

19

मैंने देखा है कि बहुत सारे डिफ़ॉल्ट डिफ़ॉल्ट ssh पोर्ट बदलते हैं। क्या ऐसा करने का कोई तर्कसंगत कारण है?

ssh  security 
sheerun
स्रोत
3
FWIW, सर्वर फाल्ट पर एक ही सवाल: serverfault.com/questions/189282/why-change-default-ssh-port
जोनिक

जवाबों:

27

सबसे अधिक संभावित कारण यह है कि लोगों को बेतरतीब ढंग से किसी भी एसएसएच लॉगिन को पाटने के लिए बेतरतीब ढंग से प्रयास करना मुश्किल हो जाता है। मेरी इंटरनेट का सामना करने वाली मशीन डिफ़ॉल्ट SSH पोर्ट का उपयोग करती है, और मेरे लॉग इस तरह से भरे जाते थे (एक वास्तविक लॉग फ़ाइल से अंश):

sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96

इन दिनों मैं IP को अवरुद्ध करने के लिए DenyHosts का उपयोग करता हूं जो कई बार प्रमाणित करने में विफल होते हैं, लेकिन यह सिर्फ बंदरगाहों को स्विच करना आसान है; इस तरह के लगभग सभी जानवर बल के हमलों को देखने के लिए स्कैनिंग को परेशान करने के लिए नहीं जा रहे हैं कि क्या आपका sshd दूसरे पोर्ट पर सुन रहा है, वे बस मान लेंगे कि आप एक नहीं चल रहे हैं और आगे बढ़ें

माइकल Mrozek
स्रोत
15

नहीं, यह अस्पष्टता रणनीति द्वारा एक सुरक्षा है

यदि आपका sshd सेटअप केवल dumb script kiddies का सामना करने के लिए पर्याप्त रूप से फिट नहीं है, केवल 22 पोर्ट की कोशिश कर रहा है, तो आपको वैसे भी समस्या है।

एक अधिक तर्कसंगत प्रतिक्रिया होगी:

  • सुनिश्चित करें कि आपके उपयोगकर्ता अच्छे पासवर्ड का उपयोग कर रहे हैं, जो अनुमान लगाने में कठिन / क्रूर हैं
  • पासवर्ड-प्रमाणीकरण अक्षम करें (कम से कम महत्वपूर्ण खातों के लिए) और बस सार्वजनिक-कुंजी-प्रमाणीकरण का उपयोग करें
  • ssh- सुरक्षा मुद्दों और उन्नयन के लिए बाहर देखो

सिस्टम लॉग में शोर sshd के लिखे जाने से कुछ लोग नाराज भी हो सकते हैं, जैसे:

Jan 02 21:24:24 example.org sshd[28396]: Invalid user guest from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28396]: input_userauth_request: invalid user guest [preauth]
Jan 02 21:24:24 example.org sshd[28396]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Jan 02 21:24:24 example.org sshd[28398]: Invalid user ubnt from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28398]: input_userauth_request: invalid user ubnt [preauth]
Jan 02 21:24:24 example.org sshd[28398]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth

यह तब sshd पोर्ट को अस्पष्ट करने या फिर से सिग्नल-टू-शोर अनुपात को बढ़ाने के लिए एक स्वचालित अवरोधक समाधान (जैसे DenyHosts, Fail2ban या BlockHosts) का उपयोग करने के लिए लुभावना हो सकता है ।

लेकिन बेहतर विकल्प मौजूद हैं। उदाहरण के लिए, आप अपने syslog डेमॉन को कॉन्फ़िगर कर सकते हैं जैसे कि sshd लॉग शोर केवल लिखा है - कहना - /var/log/sshd-attempts.logऔर संकेत (यानी शेष sshd लॉग संदेश) /var/log/messagesआदि को पहले की तरह लिखा जाता है ।

स्वचालित ब्लॉकिंग टूल की तैनाती को सावधानी से माना जाना चाहिए क्योंकि सुरक्षा प्रासंगिक प्रणालियों में अधिक जटिलता जोड़ने का मतलब शोषण का खतरा भी बढ़ जाता है । और वास्तव में, वर्षों में, प्रत्येक DenyHosts , Fail2ban और BlockHosts के लिए कई DoS भेद्यता रिपोर्ट हैं ।

maxschlepzig
स्रोत
4
मैं वास्तव में इस बात से सहमत नहीं हूं कि "यह अस्पष्टता से सुरक्षा है" मुझे लगता है कि, इस मामले में यह जवाब एक सामान्य गिरावट है। @ माइकल का तर्क आम तौर पर कहीं और होने का एक बेहतर कारण है। यह ज्यादातर सभी स्क्रिप्टेड बोतलबंद हमलों से छुटकारा पाने के लिए है। जरूरी नहीं कि आप उनसे डरें, या इसे एक निर्धारित हमलावर के खिलाफ प्रभावी मानें। मुझे पता है कि मुझे कभी चिंता नहीं हुई कि वे वास्तव में अंदर आएंगे, लेकिन सभी लॉग क्रॉफ्ट परेशान थे।
xenoterracide
1
@xenoterracide: यदि आप केवल अपनी लॉग फ़ाइलों की पठनीयता के बारे में चिंतित हैं, तो पोर्ट को अस्पष्टता रणनीति के रूप में बदलने के बजाय शोर को बाहर करने के लिए अन्य बेहतर विकल्प हैं, जो प्रश्न था। आईपी ​​ब्लॉकिंग के बारे में, जो सवाल का हिस्सा नहीं था: कृपया ध्यान दें कि सुरक्षा प्रासंगिक प्रणालियों में अधिक जटिलता जोड़ने का मतलब शोषण का जोखिम भी बढ़ रहा है। उदाहरण के लिए विचार करें seclists.org/fulldisclosure/2007/Jun/121 ossec.net/main/attacking-log-analysis-tools । हाँ, DenyHosts इससे प्रभावित थे।
maxschlepzig
1
मन में सिर्फ पठनीयता से अधिक है। ठीक से प्रलेखित पोर्ट परिवर्तन अस्पष्टता से सुरक्षा नहीं है।
xenoterracide
4

SSH पोर्ट को बदलना ज्यादातर सुरक्षा थिएटर है । यह आपको कुछ करने के लिए एक अजीब एहसास देता है। आपने डोरमैट के नीचे SSH पोर्ट छिपाया है।

यदि आप इंटरनेट पर एक SSH सर्वर चलाते हैं, तो आपको अपने लॉग में बहुत सारे असफल लॉगिन प्रयास दिखाई देंगे, बोट्स से जो कि सर्वर के पुराने संस्करणों में मूर्खतापूर्ण कमजोर पासवर्ड, कमजोर कुंजी और ज्ञात कारनामों की तलाश में हैं। असफल प्रयास बस इतना ही है: असफल प्रयास। जहां तक ​​यह मूल्यांकन करने की बात है कि आप कितने कमजोर हैं, वे पूरी तरह से अप्रासंगिक हैं। आपको सफल घुसपैठ के प्रयासों के बारे में चिंता करने की आवश्यकता है और आप उन लोगों को अपने लॉग में नहीं देखेंगे।

डिफ़ॉल्ट पोर्ट को बदलने से इस तरह के बॉट्स द्वारा हिट की संख्या कम हो जाएगी, लेकिन यह केवल कम से कम परिष्कृत हमलावरों को नाकाम कर देता है, जो किसी भी सभ्य सुरक्षा (नियमित रूप से लागू किए गए सुरक्षा अपडेट, काफी मजबूत पासवर्ड या अक्षम पासवर्ड प्रमाणीकरण) द्वारा रोक दिए जाते हैं। केवल लाभ लॉग की मात्रा को कम कर रहा है। यदि यह एक समस्या है, तो इसके बजाय कनेक्शन दर को सीमित करने के लिए Denyhosts या Fail2ban जैसी किसी चीज़ पर विचार करें , यह आपके बैंडविड्थ को भी अच्छा करेगी

डिफ़ॉल्ट पोर्ट को बदलने से एक बड़ा नुकसान होता है: यह आपको फ़ायरवॉल के पीछे से लॉग इन करने में सक्षम होने की संभावना कम कर देता है। फ़ायरवॉल कुछ यादृच्छिक अन्य पोर्ट की तुलना में अपने डिफ़ॉल्ट पोर्ट के माध्यम से सेवाएं देने की अधिक संभावना है। यदि आप HTTPS सर्वर नहीं चला रहे हैं, तो SSH को पोर्ट 443 पर सुनें (या पोर्ट 443 से पोर्ट 22 में आने वाले TCP अनुरोधों को पुनर्निर्देशित करें) पर विचार करें, क्योंकि कुछ फायरवॉल ट्रैफिक को अनुमति देते हैं कि वे पोर्ट 443 पर डिकोड नहीं कर सकते क्योंकि यह दिखता है HTTPS की तरह।

गिल्स 'SO- बुराई होना बंद करो'
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.