सवाल डिफ़ॉल्ट एसएसएच पोर्ट क्यों बदलें? [बन्द है]


मैंने देखा है कि बहुत से व्यवस्थापक डिफ़ॉल्ट एसएसएच पोर्ट बदलते हैं।

क्या ऐसा करने के लिए कोई तर्कसंगत कारण है?


46
2017-10-09 08:05


मूल


का डुप्लिकेट unix.stackexchange.com/q/2942/9454 - Martin Schröder


जवाब:


यह कुछ लोगों के दावे के रूप में उपयोगी नहीं है, लेकिन यह कम से कम आपकी लॉग फ़ाइलों पर प्रभाव को कम करेगा क्योंकि कई ब्रूट फोर्स लॉगिन प्रयास केवल स्कैनिंग के बजाय डिफ़ॉल्ट पोर्ट का उपयोग करते हैं ताकि यह देखने के लिए कि एसएसएच कहीं और सुन रहा है या नहीं। हालांकि कुछ हमले एसएसएच के लिए कहीं और स्कैन करेंगे, इसलिए यह कोई चांदी की बुलेट नहीं है।

यदि आपका सर्वर किसी भी प्रकार का साझा होस्ट होने जा रहा है, तो बस अपनी परियोजनाओं की ज़रूरतों को पूरा करने के बजाय, गैर-डिफ़ॉल्ट पोर्ट का उपयोग करके दर्द हो सकता है क्योंकि आपको इसे अपने उपयोगकर्ताओं को बार-बार समझा देना होगा और जब वे भूल जाते हैं और उनके क्लाइंट प्रोग्राम बंदरगाह 22 से जुड़ने में विफल रहते हैं!

गैर मानक पोर्ट पर एसएसएच के साथ एक और संभावित समस्या यह है कि यदि आप एक क्लाइंट को एक प्रतिबंधित आउट-जा रहे फ़िल्टर सेट के साथ सामना करते हैं, जो आपके कस्टम पोर्ट से कनेक्ट नहीं हो सकता है क्योंकि उनका फ़िल्टर केवल अनुमति देता है, उदाहरण के लिए, बंदरगाह 22, 53, 80 और 443 नए आउट-कनेक्शन कनेक्शन के लिए गंतव्य बनने के लिए। यह असामान्य है, लेकिन निश्चित रूप से अनसुना नहीं है। इसी तरह, कुछ आईएसपी एक पी 2 पी कनेक्शन और थ्रॉटल (या ब्लॉक) को छिपाने के प्रयास के रूप में आमतौर पर अपेक्षित (पोर्ट 443 या एचटीटीपीएस, एसएसएच के लिए 22) के अलावा बंदरगाह पर एन्क्रिप्टेड यातायात देख सकते हैं। एक असुविधाजनक तरीके से कनेक्शन।

मैं व्यक्तिगत रूप से सुविधा के लिए मानक बंदरगाह पर एसएसएच रखता हूं। जब तक सामान्य सावधानी बरतें (मजबूत पासवर्ड / कुंजी नीति, रूट लॉग इन को प्रतिबंधित करना, ...) को चिंता न करें और जब आप ब्रूट फोर्स अटैक के साथ हिट होते हैं तो लॉग फ़ाइल वृद्धि समस्या को ऐसे टूल का उपयोग करके कम किया जा सकता है fial2ban को अस्थायी रूप से मेजबान ब्लॉक करने के लिए जो समय के किसी भी स्थान पर प्रमाणीकरण प्रमाण-पत्रों के बहुत से खराब सेट देते हैं।

जो भी पोर्ट आपने चुना है, यदि आप 22 से दूर चले जाते हैं, तो सुनिश्चित करें कि यह 1024 से नीचे है। अधिकांश यूनिक्स-जैसे-जैसे सेटअप उनके डिफ़ॉल्ट कॉन्फ़िगरेशन में, केवल रूट (या रूट समूह में उपयोगकर्ता) 1024 से नीचे बंदरगाहों पर सुन सकते हैं, लेकिन कोई भी उपयोगकर्ता उच्च बंदरगाहों पर सुन सकता है। एक उच्च बंदरगाह पर एसएसएच चलाने से आपके एसएसएच डिमन को क्रैश करने और इसे अपने या प्रॉक्सी से बदलने के लिए एक दुष्ट (या हैक) उपयोगकर्ता का मौका बढ़ जाता है।


63
2018-02-07 16:26



मैं इस सर्वर का एकमात्र उपयोगकर्ता हूं। 1024+ अंक को स्पष्ट करने के लिए धन्यवाद। अगर मैंने चुना तो मैं 48xxx पोर्ट का इस्तेमाल करता। वैसे भी इस बिंदु पर मुझे अभी भी यह नहीं मिलता है कि यह उपयोगी है या नहीं = / - dynamic
1024 बिट के लिए +1। - MattC


यह एक साधारण (लेकिन आश्चर्यजनक रूप से प्रभावी) रूप है अस्पष्टता के माध्यम से सुरक्षा

यदि आपका एसएसएच सर्वर बंदरगाह 22 पर नहीं है तो डिफ़ॉल्ट खातों पर कमजोर पासवर्ड की तलाश में पूरे इंटरनेट स्कैन करने वालों द्वारा यह बहुत कम संभावना है। यदि आप पूरे नेट स्कैन कर रहे हैं तो आप एसएसएच सर्वर खोजने के लिए सभी 64k संभावित बंदरगाहों को जांचने का जोखिम नहीं उठा सकते हैं।

हालांकि अगर कोई आपको सक्रिय रूप से लक्षित कर रहा है तो विशेष रूप से यह एक आसान लाभ के बाद से कोई लाभ नहीं प्रदान करता है nmap स्कैन उस बंदरगाह को प्रकट करेगा जिस पर यह वास्तव में चल रहा है।


27
2017-10-09 08:25



"सभी 64k संभावित बंदरगाहों की जांच करें"... 1023 से ऊपर किसी भी बंदरगाह में एसएसएच चलाना सिर्फ गलत है। यह प्रणाली बनाता है अधिक इसे अपने डिफ़ॉल्ट बंदरगाह में चलने से कमजोर है। - Juliano
@ जुलिआनो - कृपया समझाओ। सिर्फ इसलिए कि आप है एक विशेषाधिकार प्राप्त बंदरगाह पर सुनने के लिए रूट होने के लिए (AFAIK) इसे नहीं बनाता है असुरक्षित एक अप्रतिबंधित बंदरगाह पर चलाने के लिए। - Alnitak
वैसे, यह अस्पष्टता के माध्यम से सुरक्षा नहीं है, अन्यथा आपको पासवर्ड प्रमाणीकरण भी कॉल करना होगा। अस्पष्टता के माध्यम से सुरक्षा तब होती है जब कार्यान्वयन का खुलासा नहीं किया जाता है। यहां, कार्यान्वयन स्पष्ट रूप से कहा गया है (यह है "मैंने सेवा बंदरगाह बदल दिया"), और रहस्य ("कौन सा बंदरगाह?") अभी भी गुप्त है। - Juliano
@ जॉन - वास्तव में मैं @ जूलियानो के बिंदु को देखता हूं। यह एसएसएच डिमन खुद को आंतरिक रूप से कम सुरक्षित नहीं बनाता है, लेकिन गैर-विशेषाधिकार प्राप्त बंदरगाह पर चलने वाले सामान्य मामले में सामान्य धारणा को रद्द कर देता है जो रूट शुरू कर दिया है डेमॉन तो यदि आप किसी भी तरह से उस डिमन को रोक सकते हैं (उदा। इसे करने से) आप रूट शोषण की आवश्यकता के बिना अपने स्वयं के नकली डिमन को अपनी जगह पर शुरू कर सकते हैं। उस नकली डिमन फिर आगे के शोषण की अनुमति देने के लिए पर्याप्त विवरण प्राप्त कर सकता है। - Alnitak
@ जॉन, यह सच है - अभी भी हमलावर को एक नया डिमन शुरू करने के लिए पर्याप्त पहुंच प्राप्त करने की आवश्यकता है। मुख्य बिंदु यह है कि उन्हें अब आवश्यकता नहीं है जड़ इसे शुरू करने के लिए उपयोग करें। - Alnitak


वास्तव में ब्रूटफोर्स हमलों से बचने के लिए, कुछ चरणों का पालन करना हमेशा महत्वपूर्ण होता है:

  • Denyhosts या fail2ban स्थापित करें
  • एसएसएच पोर्ट पर प्रति सेकंड कनेक्शन की सीमा सीमित करें
  • एसएसएच पोर्ट बदलें
  • अस्वीकृत रूट लॉगिन
  • पासवर्ड के बजाय कुंजी द्वारा प्रमाणीकरण सक्षम करें

22
2017-11-14 21:29



बंदरगाह परिवर्तन भाग को छोड़कर एक अच्छी सूची की तरह लगता है कि मैं वास्तव में सहमत नहीं हूं, यह बहुत अधिक अस्पष्टता है। एक आधुनिक बंदरगाह स्कैनर इसे कुछ सेकंड के भीतर भी मिलेगा? (और कई नेटवर्क यादृच्छिक बंदरगाह यातायात को बाहर नहीं जाने देंगे, आमतौर पर 22, 80 और 443 कहने तक सीमित) - Oskar Duveborn
बंदरगाह परिवर्तन सीमा ब्रूट फोर्स हमले जो डिफ़ॉल्ट बंदरगाह पर चल रहे एसएसएच के लिए जांच करता है, अगर हमला अधिक गंभीर है, तो केवल इस मामले में हमलावर आपके नेटवर्क / होस्ट में छेद बंदरगाहों का स्कैन कर सकता है। - Ali Mezgani
वास्तव में, मुझे लगता है कि एक अच्छी फ़ायरवॉल के पीछे, यदि आप अपनी सेवाओं को अद्यतित रखते हैं और यदि आप उनकी डिफ़ॉल्ट सेटिंग बदलते हैं, तो आप दुर्भावनापूर्ण लोगों के हमलों से सुरक्षित हो सकते हैं। और 0day शोषण या अज्ञात हमलों से नहीं हो सकता है - Ali Mezgani
Denyhosts / fail2ban का उपयोग बंदरगाहों को स्विच करने या कुंजी की आवश्यकता की आवश्यकता को कम करता है। यदि आप पासवर्ड की अनुमति नहीं देते हैं तो denyhosts / fail2ban या बदलते बंदरगाहों का उपयोग करके कोई समझ नहीं है। - Jeremy L
Denyhosts / fail2ban का उपयोग करना अतिरिक्त सुरक्षा उपायों की आवश्यकता को कम नहीं करता है। सुरक्षा का मुद्दा उन उपयोगकर्ताओं को जितना संभव हो उतना सड़क ब्लॉक बनाना है जो सुरक्षा को रोकने की कोशिश करते हैं। निश्चित रूप से आपको पोर्ट को 22 से 2222 तक बदलने की आवश्यकता नहीं है, लेकिन कहें कि एक और व्यवस्थापक पासवर्ड के साथ आता है और फिर से सक्षम बनाता है ... आपके पास अभी भी कई अन्य गति बाधाएं होंगी। ऊपर सूचीबद्ध प्रत्येक चरण व्यवस्थापक को 100% सुरक्षा की असंभवता के करीब एक प्रतिशत मिलता है। - Patrick R


हां यह उपयोगी है क्योंकि यह केवल सभी ब्रूट फोर्स हमलों से बचने में मदद करता है और लॉग को साफ़ रखने में मदद करता है :)

जैसा कि आपके ऊपर पोर्ट नंबर के लिए है, मैंने देखा है कि कंपनियां काफी बार 12 9 1 का उपयोग करती हैं। मैं कुछ स्क्रिप्ट्स से बचने में मदद करने के लिए कुछ उच्च उपयोग करता हूं।

रूट एसएस लॉग इन की अनुमति नहीं दे रहा है और पोर्ट नंबर बदल रहा है और शायद fail2ban जैसे कुछ और आपको सुनहरा होना चाहिए। अच्छे उपाय के लिए iptables जोड़ें और आपको सामान अद्यतित रखें और आपको किसी प्रकार की समस्या नहीं होनी चाहिए।


12
2018-02-07 16:13



"लॉग साफ़ रखना" के लिए +1 - Lekensteyn
लेकिन देखो डेविड स्पिललेट का जवाब यह जानने के लिए कि बंदरगाह 12 9 1 (1024 से बड़ा) खतरनाक क्यों हो सकता है। - Konerak
यदि आप कई अन्य के बाद 2 साल बाद एक अप्रतिबंधित बंदरगाह का उपयोग करने की सलाह देने जा रहे हैं, तो बेहतर उत्तर - शायद 'मैंने कंपनियों को यह देखा है' से बेहतर कारण तैयार किया है। मैंने देखा है कि कंपनियां बहुत सी चीजें करती हैं। मैं शायद ही कभी उनके उदाहरण का पालन करना चाहता हूं। - underscore_d


एक गैर मानक एसएसएच बंदरगाह का उपयोग करने के लिए अधिक स्पष्टीकरण और दस्तावेज की आवश्यकता होगी, और "मैं लॉग इन नहीं कर सकता" ईमेल का जवाब देना होगा।

मैं निम्नलिखित पर विचार करता हूं लाभ एक पर sshd चल रहा है अमानक बंदरगाहों की तुलना में पोर्ट अधिक महत्वपूर्ण है:

  • 99.9 999% ब्रूट-फोर्स हमलों को बॉट्स द्वारा किया जाता है जो केवल पोर्ट 22 की तलाश करते हैं और गैर-मानक बंदरगाह को खोजने की कोशिश करने में कभी भी बर्बाद नहीं करते हैं। ब्रूट-फोर्स अटैक और काउंटर-उपायों जैसे denyhosts या fail2ban संसाधनों का उपभोग करें, जो आप एक गैर मानक पोर्ट पर बस एसएसएच सर्वर चलाकर बचाएंगे।
  • आप अपने सिस्टम में तोड़ने की कोशिश कर रहे बॉट्स के बारे में सभी बेकार रिपोर्टों से छुटकारा पायेंगे। यदि कोई आईपी असफल लॉग इन रिपोर्ट में दिखाई देता है, तो संभावना है कि यह एक इंसान है।

इसके अलावा, अगर आप वास्तव में बुरा होना चाहते हैं, तो आप हमेशा एक नकली sshd चला सकते हैं (के साथ DenyUsers * ) मानक बंदरगाह 22 पर, जबकि आपका नियमित एसएसडी पोर्ट 54321 पर चलता है। यह आपको आश्वस्त करेगा कि सभी बॉट्स और घुसपैठिए-वानबेस हमेशा एक सेवा में लॉगिन करने का प्रयास करेंगे जो सभी लॉग इन से इनकार करता है, क्योंकि कोई भी कभी भी आपकी खोज करने की कोशिश करने के बारे में नहीं सोचता असली एसएसडीडी सेवा।

मेरे 2 सेंट


11
2017-11-14 23:17



हालांकि इसके परिणामस्वरूप और भी अधिक समर्थन कॉल हो सकती है। - Brad Gilbert
यह सच है, लेकिन बढ़ी हुई सुरक्षा कीमत पर आती है। :) - Born To Ride


किसी भी "सुरक्षा" कारण के लिए ऐसा करना फर्जी है। यह अस्पष्टता द्वारा सुरक्षा का सबसे अच्छा उदाहरण है जो सुरक्षा नहीं है।

यदि आप अपने लॉग को थोड़ा हल्का और क्लीनर रखना चाहते हैं, तो हां यह उपयोगी है क्योंकि आपको कई पोर्ट नॉकिंग / स्क्रिप्ट-किड्डी ब्रूटफोर्स प्रयास नहीं मिलेगा।


10
2017-10-09 08:25



हां। जब मेरे पास पोर्ट 22 पर एसएसएच था, तो मेरे पास प्रति दिन मेरे लॉग में दिखाए गए 20000 विफल पासवर्ड प्रयास थे। जिसका मतलब है कि मुझे हर दिन एक सुरक्षा चेतावनी ईमेल मिला। मेरे पास पासवर्ड प्रमाणीकरण अक्षम था - आपको लॉगिन करने के लिए एक उचित निजी कुंजी रखना था - इसलिए मैं किसी के अंदर आने के बारे में चिंतित नहीं था, लेकिन कुछ वास्तविक होने पर मुझे केवल सुरक्षा चेतावनी ईमेल प्राप्त करना होगा। - jdege


मैं मानक बंदरगाह पर एसएसएच चलाता हूं और कुछ ऐसा उपयोग करता हूं fail2ban या denyhosts शब्दकोश हमलों की संख्या को सीमित करने के लिए।

एक और विकल्प पासवर्ड altogheter के साथ लॉगिन अक्षम करना है और केवल ssh-keys के साथ लॉगिन की अनुमति है।


9
2017-11-14 21:27





क्योंकि वहां बहुत सारे बुरे लोग हैं जो शोषण के प्रयास में खुले बंदरगाहों के लिए सभी सर्वर आईपी स्कैन करते हैं। मैं अपने एसएसएच बंदरगाह पर पूरे दिन हथौड़ा का दौरा करता था जब तक कि मैं इसे किसी अन्य बंदरगाह पर और आईपी पर नहीं ले जाता था जो अब मेरी किसी भी वेबसाइट से जुड़ा हुआ नहीं था।


8
2017-10-09 08:08