GNU/Linux >> Znalost Linux >  >> Linux

Mám změnit výchozí port SSH na linuxových serverech?

Internet je divoké a děsivé místo plné nespokojenců, jejichž motivy sahají od zvědavosti až po kriminální podnikání. Tyto nepříjemnosti neustále hledají počítače se službami, které doufají, že využijí; obvykle běžnější služby jako SSH, HTTP, FTP atd. Kontroly obvykle spadají do jedné ze dvou kategorií:

  1. Recon skenuje, aby zjistil, na jaké IP adrese jsou tyto služby otevřené.
  2. Využijte prohledávání IP adres, u kterých bylo zjištěno, že používají konkrétní službu.

Vzhledem k tomu, jak velký je internet, je obvykle nemožné podívat se na každý port každé IP adresy a najít, co všude poslouchá. Toto je jádro rady, jak změnit výchozí port. Pokud tito nespokojení jedinci chtějí najít SSH servery, začnou zkoumat každou IP adresu na portu 22 (mohou také přidat některé běžné alternativy, jako je 222 nebo 2222). Poté, jakmile budou mít otevřený seznam IP adres s portem 22, začnou hrubě používat své heslo, aby uhádli uživatelská jména/hesla nebo spustí svou vlastní sadu exploitů a začnou testovat známé (alespoň jim) zranitelnosti na cílovém systému.

To znamená, že pokud změníte svůj SSH port na 34887, pak vás tento sweep mine, což pravděpodobně povede k tomu, že nebudete cílem následného vloupání.

Vypadá to růžově, že? Existují však určité nevýhody.

  1. Podpora klienta:Každý, kdo se připojí k vašemu serveru, bude muset znát a používat změněný port. Pokud se nacházíte v silně spravovaném prostředí, může být tato konfigurace přenesena na klienty, nebo pokud máte málo uživatelů, měla by být snadná komunikace.
  2. Výjimky pro dokumentaci:Většina síťových zařízení, jako jsou brány firewall a IDS, je předem nastavena pro běžné služby, které mají být spuštěny na společných portech. Jakákoli pravidla brány firewall související s touto službou na tomto zařízení budou muset být zkontrolována a případně upravena. Podobně budou vylepšeny signatury IDS tak, aby prováděly inspekci SSH pouze na portu 22. Budete muset upravit každý podpis při každé aktualizaci pomocí svého nového portu. (Jako datový bod je v současné době k dispozici 136 VRT a ET snort signatur zahrnujících SSH.
  3. Ochrana systému:Moderní Linuxy se často dodávají se systémy MAC a/nebo RBAC na vrstvě jádra (např. SELinux na RedHat nebo AppAmor na Debianu) a které jsou navrženy tak, aby umožňovaly aplikacím dělat přesně to, co mají dělat. . To se může pohybovat od přístupu k /etc/hosts k zápisu do konkrétního souboru nebo odeslání paketu do sítě. V závislosti na tom, jak je tento systém nakonfigurován, může ve výchozím nastavení zakazovat sshd z vazby na nestandardní port. Museli byste udržovat místní zásady, které by to umožňovaly.
  4. Monitorování druhými stranami:Pokud máte externí divizi zabezpečení informací nebo outsourcujete monitorování, bude nutné je o změně informovat. Když při provádění hodnocení zabezpečení nebo analýze protokolů hledajících bezpečnostní hrozby, když vidím, že server SSH běží na nestandardním portu (nebo SSH server na jiném než UNIX/Linuxu), beru jej jako potenciální zadní vrátka. a vyvolat kompromitovanou systémovou část procedury zpracování incidentů. Někdy je to vyřešeno do 5 minut poté, co zavoláte administrátorovi a je mi řečeno, že je to legitimní, v tomto okamžiku aktualizuji dokumentaci, jindy je to opravdu špatné. V každém případě to pro vás může mít za následek výpadek nebo přinejmenším nervy drásající hovor, když zvednete telefon a uslyšíte:"Ahoj, tady Bob z úřadu pro bezpečnost informací. Mám na vás pár otázek." ."

Před změnou portu musíte vzít toto vše v úvahu, abyste věděli, že děláte to nejlepší rozhodnutí. Některé z těchto nevýhod nemusí platit, ale některé určitě ano. Zvažte také, před čím se snažíte chránit. Často je jednoduše jednodušší nakonfigurovat firewall tak, aby umožňoval přístup pouze k 22 z konkrétních hostitelů, nikoli k celému Internetu.


Ano, může být, nikoli zvýšením zabezpečení, ale můžete snížit počet neúspěšných pokusů o přihlášení na váš server. Vždy změním výchozí ssh, abych snížil varování, která dostávám od ossec. Také pokud používáte opravdu náhodný port a někdo se stále pokouší získat přístup k vašemu počítači, je vyšší pravděpodobnost, že se jedná spíše o cílený útok než o náhodný skener.


Jak řekli jiní, umístění SSH na jiný port než 22 sníží pravděpodobnost zásahu při náhodném skenování. Pokud se útočník pokusí získat váš, budete cíleni server, nikoli jakýkoli server.

Mám server s ssh vázaný na náhodný vysoký port. A mám ssh honeypot na portu 22, který odpoví na každý pokus o přihlášení zprávou „přístup odepřen“.

Nemyslím si, že je to obrana nejasností , ale obrana do hloubky :Aby mohl útočník zaútočit na můj server, musí nejprve najít port. Pokud mám několik falešných honeypotů (spousta portů přesměrovává na stejný honeypot), útočník zasáhne mnoho falešných a nemá žádný způsob, jak zjistit, zda zasáhl skutečný ssh nebo ne.

Jde však pouze o obranu. Mám portsentry aktivní také, takže pokud někdo zkusí portscan, bude na hodinu zablokován. Pokud brutálně vynutí heslo na pravém ssh, obdrží na hodinu „přístup odepřen“. Pokud úspěšně uhodnou heslo, zobrazí se jim výzva PAM s žádostí o token Google Auth.

Náklady na změnu portu jsou velmi nízké a myslím si, že nevýhody jsou ospravedlněny výhodami.


Linux
  1. Jak změnit port SSH na Lubuntu 20.04 Linux

  2. Změňte výchozí číslo portu serveru SSH

  3. Změňte port SSH v CentOS a Red Hat

  1. Změňte port SSH v operačním systému Linux Ubuntu

  2. Jak změnit výchozí prostředí v Linuxu

  3. Skript pro změnu hesla na linuxových serverech přes ssh

  1. Jak změnit port SSH v Linuxu

  2. Změna portu SSH na systému Linux Ubuntu 20.04 – nejlepší metoda?

  3. Nejlepší webové linuxové servery