Serveur OpenSSH à l'écoute d'un port non standard - recommandé ou non?

1

Est-il recommandé que sshd écoute sur un port non standard? La documentation de la communauté Ubuntu comporte une ligne qui indique:

Il n'est pas recommandé d'écouter sur un port non standard.

C'est sur cette page . J'ai toujours suivi cette pratique et jamais eu de problèmes. Pourriez-vous préciser toute situation dans laquelle le port non standard ne serait pas une bonne idée.

linux  ssh  openssh 
Chintan
source
Cela dépend vraiment de pourquoi - si juste pour le cacher, que peut-être pas. Si vous souhaitez configurer un service spécial pour une application particulière, c’est peut-être ce dont vous avez besoin.
Shannon Nelson

Réponses:

4

Si vous souhaitez que plusieurs personnes puissent utiliser SSH, le fonctionnement sur un port non standard risque de compliquer davantage les choses.

Cependant, s'il ne s'agit que de vous, le fait de fonctionner sur un port autre que 22 n'a pas d'inconvénient majeur (en supposant que vous puissiez vous souvenir du numéro de port) et cela réduira considérablement le nombre de tentatives de connexion des bots lors d'attaques par dictionnaire.

Zack Elan
source
Aucun inconvénient réel - tant qu'il ne choisit pas un port sur lequel une autre application s'appuie.
John T
Vous aurez toujours les tentatives de connexion. Vous ne les verrez plus, cependant.
InnaM
6

Lorsque vous exécutez un serveur ssh, vous devez absolument désactiver ssh racine et utiliser uniquement l'authentification par clé privée / publique. À mon avis, changer de port est une forme de sécurité faible.

Spig
source
J'utilise les clés pour l'authentification, c'est le commentaire sur la documentation qui m'a confondu. il n'y avait aucun argument pour la déclaration et j'ai entendu dire que l'utilisation d'un port non standard est généralement une bonne idée, et certainement pas la seule méthode de sécurité.
Chintan
4

Exécuter SSH sur un port non standard revient à déplacer l'emplacement de la clé de contact d'une voiture dans le coffre. La sécurité, bien que l’obscurité ne soit pas une sécurité, mais elle déjoue les scripts de robot trop stupides pour voir la rallonge filer du tiret au siège arrière.

Le meilleur moyen de sécuriser SSH consiste à empêcher complètement les connexions à la racine et à imposer l'utilisation de paires de clés en désactivant les connexions par mot de passe. De plus, ne prenez pas la voie paresseuse et créez des clés sans mot de passe.

Lutter contre les attaques par force brute est préférable à leur cacher, vous ne voulez pas que ces IP accèdent à un service sur le système une fois qu'elles ne parviennent pas à se connecter en tant que root 100 fois de suite. Il est plutôt facile de surveiller les fichiers journaux pour cela et d’utiliser des outils de pare-feu (iptables) pour bloquer les futures demandes.

La combinaison est beaucoup plus sécurisée .. et vous ne devez pas confondre les utilisateurs avec un port non standard :)

Tim Post
source
+1 pour iptables n'autorise que certains numéros ip.
Johan
2

Quelques mises en garde avec ceci:

  • Vous pouvez choisir un port déjà utilisé par une autre application.
  • Certaines applications (mal codées) peuvent avoir cette valeur codée en dur en tant que port SSH, mais la plupart seront flexibles et vous permettront de spécifier un port.
  • Si d'autres utilisateurs obtiennent un accès SSH, vous devez vous assurer que vous leur avez indiqué qu'il fonctionne sur un port différent pour éviter ces appels téléphoniques importuns tard dans la nuit.

Si ce n'est pas un problème pour vous, allez-y!

John T
source
1

Si vous souhaitez exécuter SSH sur un port standard, faites-vous une faveur et installez Blockhosts. Installez-le, configurez-le, ajoutez-le à cron et vous devriez être en sécurité pour la plupart. Au moins toutes les tentatives de force brute ne seront pas utiles.

Natalie Adams
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.