많은 관리자가 기본 ssh 포트를 변경하는 것으로 나타났습니다.
합리적인 이유가 있습니까?
답변
일부 사람들이 주장하는 것만 큼 유용하지는 않지만, 많은 무차별 강제 로그인 시도가 SSH가 다른 곳에서 수신 대기하는지 확인하기 위해 스캔하는 대신 기본 포트만 사용하기 때문에 최소한 로그 파일에 미치는 영향을 줄입니다. 일부 공격은 다른 곳에서 SSH를 검색하므로 은색 총알이 아닙니다.
서버가 단지 프로젝트의 요구를 충족시키는 것이 아니라 일종의 공유 호스트가 될 경우, 기본이 아닌 포트를 사용하는 것은 사용자에게 반복해서 설명해야하기 때문에 힘들 수 있습니다. 잊어 버렸을 때 클라이언트 프로그램이 포트 22에 연결하지 못한 경우
비표준 포트에서 SSH의 또 다른 문제점은 제한적인 발신 필터 세트가있는 클라이언트가 발생하는 경우입니다.이 필터는 예를 들어 포트 22, 53, 80과 같은 필터 만 허용하므로 사용자 정의 포트에 연결할 수 없습니다. 443은 새로운 발신 연결의 대상이됩니다. 이것은 흔하지 않지만 확실히 들어 본 적이 없습니다. 비슷한 문제로, 일부 ISP는 P2P 연결 및 스로틀 (또는 블록)을 숨기려고 시도하는 것으로 일반적으로 예상되는 포트 (포트 443 또는 HTTPS, 22의 경우 등) 이외의 포트에서 암호화 된 트래픽을 볼 수 있습니다. 불편한 연결.
편의상 표준 포트에 SSH를 개인적으로 유지합니다. 일반적인 예방 조치 (강력한 암호 / 키 정책, 루트 로그인 제한 등)를 취하는 한 걱정할 필요가 없으며 무차별 대입 공격에 부딪 칠 때 로그 파일 증가 문제는 다음과 같은 도구를 사용하여 완화 할 수 있습니다. fial2ban으로 지정된 시간 간격에 잘못된 인증 자격 증명을 너무 많이 제공하는 호스트를 일시적으로 차단합니다.
선택한 포트가 무엇이든, 22에서 멀어지면 1024 미만인지 확인하십시오. 기본 구성의 대부분의 유닉스 유사 설정에서는 루트 (또는 루트 그룹의 사용자) 만 1024 이하의 포트에서 청취 할 수 있습니다. 그러나 모든 사용자는 더 높은 포트에서들을 수 있습니다. 더 높은 포트에서 SSH를 실행하면 불량 (또는 해킹 된) 사용자가 SSH 데몬을 중단하고 자체 또는 프록시로 교체 할 가능성이 높아집니다.
답변
모호함을 통한 단순하지만 놀랍도록 효과적인 보안 형식입니다 .
SSH 서버가 포트 22에 없으면 전체 인터넷을 검색하여 기본 계정에서 약한 암호를 찾는 사람들이 찾을 가능성이 훨씬 적습니다. 전체 네트워크를 스캔하는 경우 SSH 서버를 찾기 위해 64k 가능한 모든 포트를 검사 할 여유가 없습니다.
그러나 누군가가 당신을 적극적으로 목표로 삼고 있다면 간단한 일회성 nmap
스캔으로 실제로 실행중인 포트가 표시 되므로 이점이 없습니다 .
답변
무차별 공격을 피하려면 항상 몇 가지 단계를 수행해야합니다.
- 거부 호스트 또는 fail2ban 설치
- ssh 포트에서 초당 연결 수 제한
- SSH 포트 변경
- 거부 된 루트 로그인
- 비밀번호 대신 키로 인증 사용
답변
예. 모든 무차별 대입 공격을 피하고 로그를 명확하게 유지하는 데 도움이되므로 유용합니다. 🙂
당신에게 달려있는 포트 번호에 관해서는, 회사가 1291을 상당히 자주 사용하는 것을 보았습니다. 스크립트 중 일부를 피하기 위해 더 높은 것을 사용합니다.
루트 ssh 로그인을 허용하지 않고 포트 번호 및 fail2ban과 같은 것을 변경하면 황금색이어야합니다. 좋은 측정을 위해 iptables를 추가하고 최신 정보를 유지하면 어떤 종류의 문제도 발생하지 않아야합니다.
답변
비표준 ssh 포트를 사용하려면 자세한 설명과 설명서가 필요하고 “로그인 할 수 없습니다”이메일에 응답해야합니다.
비표준 포트 에서 sshd를 실행 하면 발생하는 문제보다 다음과 같은 이점 이 더 중요합니다.
- 무차별 대입 공격의 99.9999 %는 포트 22 만 찾고 비표준 포트를 발견하려고 할 때 시간을 낭비하지 않는 봇에 의해 수행됩니다. 무차별 대입 공격 및 denyhosts 또는 fail2ban 과 같은 대책은 비표준 포트에서 ssh 서버를 실행하여 절약 할 수있는 리소스를 사용합니다.
- 시스템에 침입하려는 봇에 대한 모든 쓸모없는 보고서를 제거합니다. 로그인 실패 보고서에 IP가 표시되면 이것이 사람 일 가능성이 있습니다.
또한, 정말로 불쾌감을 원한다면 표준 포트 22에서 가짜 sshd ( DenyUsers * 포함 )를 항상 실행할 수 있고 일반 sshd는 포트 54321에서 실행됩니다. 이렇게하면 모든 봇과 침입자 -wannabes가 영원히 지속될 것입니다 아무도 실제 sshd 서비스 를 찾으려고 생각하지 않기 때문에 모든 로그인을 거부하는 서비스에 로그인하십시오 .
내 2 센트