Зачем менять порт ssh по умолчанию?

Я заметил, что многие администраторы меняют порт ssh по умолчанию.

Есть ли какая-нибудь рациональная причина делать это?

Ответ 1

Это не так полезно, как утверждают некоторые люди, но это, по крайней мере, уменьшит влияние на ваши файлы журналов, поскольку многие попытки грубой силы используют только порт по умолчанию и не сканируют, не прослушивается ли SSH. Однако некоторые атаки будут проверять наличие SSH. Если ваш сервер будет использоваться в качестве общего хоста, а не только для обслуживания ваших проектов, использование нестандартного порта может стать проблемой, поскольку вам придется объяснять это своим пользователям снова и снова, когда они забудут и их клиентские программы не смогут подключиться к порту 22. Еще одна проблема с SSH на нестандартном порту — если вы столкнетесь с клиентом с ограничительным фильтром исходящих соединений, он не сможет подключиться к вашему пользовательскому порту, потому что его фильтр разрешает, например, только порты 22, 53, 80 и 443 в качестве адресата для новых исходящих соединений. Это редкость, но все равно случается. По аналогичному вопросу некоторые провайдеры могут рассматривать зашифрованный трафик на порту, отличном от тех, где он обычно ожидается (порт 443 или HTTPS, 22 для SSH и так далее), как попытку скрыть P2P-соединение и пробрасывать (или блокировать) соединение неудобным способом.

Лично я держу SSH на стандартном порту для удобства. Пока принимаются обычные меры предосторожности (строгая политика паролей/ключей, ограничение входа root, ...), это не должно вызывать беспокойства, а проблему роста файла журнала при атаке грубой силы можно решить с помощью таких инструментов, как fial2ban, чтобы временно блокировать хосты, которые предоставляют слишком много «плохих» наборов учетных данных для аутентификации за определенный промежуток времени.

Какой бы порт вы ни выбрали, если вы перейдете от 22, убедитесь, что его значение ниже 1024. В большинстве Unix-подобных систем в конфигурации по умолчанию только root (или пользователи из группы root) могут прослушивать порты ниже 1024, но любой пользователь может прослушивать порты выше. Запуск SSH на более высоком порту увеличивает вероятность того, что неавторизованный (или взломанный) пользователь сможет разрушить ваш демон SSH и заменить его своим собственным или прокси.

Ответ 2

Это полезно в том смысле, что скрипт-боты, которые пытаются атаковать перебором паролей, чаще всего ориентируются на порт 22, поэтому изменение портов обычно сбивает их с толку. Вам нужно будет сбалансировать ценность уменьшения этого риска с вероятностью настройки ssh клиентов для подключения к нестандартному порту. В качестве альтернативы вы можете уменьшить риск перебора, отключив аутентификацию по паролю и требуя вместо этого аутентификацию по RSA-ключу.

Ответ 3

Ваша проблема заключается в том, что брандмауэр настроен на разрешение подключения только к определенным IP-адресам. Если вы блокируете определенные IP на брандмауэре, это может стать проблемой. Изменение порта защищает от автоматических атак. Это все, но это большая часть среднего трафика атак... автоматические скрипты, сканирующие сети. Если вы измените порт по умолчанию, эти атаки должны снизиться до нуля. Так что в таком отношении это имеет смысл. Однако это ничего не даст против направленной атаки, поскольку атакующий может просто просканировать с помощью Nessus или NMAP, чтобы определить, какой порт(ы) вы используете. 

Во-вторых, если вы используете UNIX-подобные серверы, вы можете установить такую утилиту, как Denyhosts, чтобы остановить атаки. Если вы установите denyhosts, она будет отслеживать неправильные попытки входа в систему и после (любого определенного вами количества) неудачных попыток запретит IP на определенный вами период времени. Denyhosts также может общаться с другими узлами denyhost и передавать списки запретов, так что, если атакующий получит доступ к Linux-системе, ваша система также получит этот IP для запрета. Очень полезно, если ваши пользователи помнят свои пароли.

Все зависит от сценариев использования. Сколько у вас программ для изменения порта подключения для SSH/SCP. Вкратце — изменение порта блокирует автоматические скрипты и большую часть негативного трафика. 

Ответ 4

Перенос SSH на другой порт имеет определенный смысл — это помогает в обеспечении безопасности, но не очень сильно. Конечно, чтобы сделать это, вы должны контролировать свои брандмауэры, но для вас это не проблема. Что, на мой взгляд, сводит на нет пользу от перемещения порта, так это открытие принимаемого диапазона — на самом деле, я бы сказал, что это более чем сводит на нет пользу и подвергает вас еще большему риску, чем обычно.

Ответ 5

Я использую SSH на порту >1024 уже более 5 лет. С тех пор я не видел ни одной попытки сканирования портов в моем журнале (кроме как от меня самого). Есть мои серверы, которые я администрирую, которые работают с портом >1024. Многие из SSH-серверов, которые работают на порту >1024, имеют свои собственные веб-сайты, которые популярны.

Есть и другие вещи, которые придется настроить, чтобы сделать его безопасным. Одного SSH >1024 будет недостаточно. Номер порта не должен быть в /etc/services, должен использоваться проброс портов (например, порт 1124->22), прямой доступ к Root должен быть отключен и прочее.