インターネットはワイルドで恐ろしい場所であり、その動機は好奇心から犯罪事業にまで及びます。これらの不快な攻撃者は、悪用しようとするサービスを実行しているコンピューターを常にスキャンしています。通常、SSH、HTTP、FTP などのより一般的なサービスです。スキャンは通常、次の 2 つのカテゴリのいずれかに分類されます。
<オール>インターネットがどれほど大きいかを考えると、すべての IP アドレスのすべてのポートを調べて、あらゆるところでリッスンしているものを見つけることは、通常、実行不可能です。これが、デフォルトのポートを変更するためのアドバイスの核心です。これらの不満を持つ個人が SSH サーバーを見つけたい場合、ポート 22 で各 IP アドレスの調査を開始します (222 や 2222 などの一般的な代替アドレスを追加する場合もあります)。次に、ポート 22 が開いている IP アドレスのリストを取得すると、パスワード ブルート フォースを開始して、ユーザー名/パスワードを推測するか、選択したエクスプロイト キットを起動して、ターゲット システムの既知の (少なくとも彼らにとって) 脆弱性のテストを開始します。
これは、SSH ポートを 34887 に変更すると、スイープがあなたを通り過ぎてしまうことを意味し、その結果、その後の侵入の標的にされない可能性があります。
バラ色に見えますよね?ただし、いくつかの欠点があります。
<オール>/etc/hosts へのアクセスから、 ファイル、特定のファイルへの書き込み、またはネットワーク上でのパケットの送信。このシステムの構成方法によっては、デフォルトで sshd を禁止する場合があります。 非標準ポートへのバインディングから。それを許可するローカル ポリシーを維持する必要があります。ポートを変更する前に、これらすべてを考慮して、最善の決定を下していることを確認する必要があります。これらの欠点のいくつかは当てはまらないかもしれませんが、いくつかは確実に当てはまります。また、何から身を守ろうとしているのかを考えてください。多くの場合、インターネット全体ではなく、特定のホストから 22 のアクセスのみを許可するようにファイアウォールを構成する方が簡単です。
はい、セキュリティを強化することによってではありませんが、サーバーでのログイン試行の失敗の量を減らすことができます。 ossec からの警告を減らすために、常にデフォルトの ssh を変更しています。また、非常にランダムなポートを使用していて、誰かがまだマシンにアクセスしようとしている場合は、ランダム スキャナーではなく標的型攻撃である可能性が高くなります。
他の人が言ったように、SSH を 22 以外のポートに配置すると、ランダム スキャンでヒットする可能性が低くなります。攻撃者があなたのを手に入れようとしている場合、あなたは標的にされます サーバーであり、サーバーではありません。
ssh のサーバーがあります ランダムな高いポートにバインドされています。また、ポート 22 に ssh ハニーポットがあり、すべてのログイン試行に対して「アクセスが拒否されました」というメッセージが返されます。
あいまいさによる防御ではないと思います 、しかし多層防御 :サーバーを攻撃するには、攻撃者は最初にポートを見つける必要があります。いくつかの偽のハニーポット (同じハニーポットにリダイレクトする多数のポート) がある場合、攻撃者は多くの偽のハニーポットにヒットし、本物の ssh にヒットしたかどうかを知る方法がありません。
あくまでも防御ですけどね。私は portsentry を持っています もアクティブであるため、誰かがポートスキャンを試みると、1 時間ブロックされます。正しい ssh でパスワードを総当たり攻撃すると、「アクセスが拒否されました」というメッセージが 1 時間表示されます。パスワードの推測に成功すると、Google Auth トークンを要求する PAM プロンプトが表示されます。
ポートを変更するコストは非常に低く、マイナス面はプラス面によって正当化されると思います.