Оно улучшает безопасность для использования непонятных номеров портов?

это повысить безопасность в использовании непонятных номеров портов?

Если вы'вновь, уже с помощью высокой энтропии паролей или аутентификации по публичному ключу, ответ является "не то". В основном вы're просто избавиться от шума в журналы.

Я переживать за непредвиденные последствия отступления от этих рекомендаций.

Это зависит от того, какой был выбран порт. В Linux, по умолчанию все порты ниже 1024 требует корневого доступа, чтобы слушать на них. Если вы're через порт выше 1024, любой пользователь может прослушивать его, если там's уже не слушал.

Почему это так важно? Позвольте'говорят, что вы решили установить SSH на привязку к порту 20,000. Если кто-то может остановить процесс по SSH на сервер (пусть'ы сказать, что они как-то нашли путь к краху процесса), и локальный доступ к серверу, то он может запустить свой собственный сервер SSH на порт `20,000 до перезапуска службы. Кто-лесозаготовки тогда бы войти в плохих парней SSH серверу.

Это'т так уж страшно, как он будет использоваться, так как в эти дни он's только доверенных его сотрудников, которые имеют доступ входа на сервер. Но все равно, у него есть потенциал для эскалации привилегий и прочие гадости, если злоумышленник получает плацдарм на вашем сервере.

Кроме того, ниже 1024, там's ничего особенного в номер 22. Во многом он был выбран потому, что СШ был замена telnet на порт 23, и 21 уже был взят на FTP. Как долго, как вы выбираете порт ниже 1024, порт не'т действительно важно.

это хорошая практика или нет? Мы должны использовать хорошо известные порты?

Я бы'т сказать, что я рекомендую его. Я не'т советую против него. Как я уже сказал, он избегает много шума в лог-файлах, но преимущества в значительной степени ограничивается.

Для всех, кто интересуется историей по SSH, вы можете найти его по адресу: https://www.ssh.com/ssh/port

Да, это делает. Вопрос: на сколько?

Почему она это делает? У вас уже есть базовая безопасность, поэтому каждый день атаки Дон'т беспокойтесь вы. Но там может быть 0-день завтра, и нападавшие знаю, он выиграл'т будет долго, пока патч выйдет, поэтому они пытаются использовать его и выиграл'т возиться с чем-то сложным - они просто поразить как можно больше машин как можно на стандартный порт. Любые теоретические червь СШ также использовать эту стратегию. Вы были бы защищены от этого.

Сколько дополнительной безопасности это принесет? Она защищает от этого, а может и 2-3 других конкретных сценариев. Это добавит несколько минут в лучшем случае на какие-либо целенаправленные атаки на всех, кто не полный идиот. Он ничего не делает для сценариев вы уже в достаточной степени защищены от.

Подключить эти цифры в свой излюбленный метод анализа рисков, и вы должны придумать что-то относительно небольшое. Что касается недостатков у вас есть дополнительные усилия для установки в нестандартный номер порта, на котором он запечатлен, может быть, пропавших без вести во время устранения неполадок и тратить время и т. д.

Я думаю, что вы бы просто порвут даже с анализом. Или, другими словами: Да, это улучшает безопасность, но это's не стоит, потому что улучшение очень мало.

Нет, это не улучшения безопасности. Это может уменьшить беспорядок журнал, как автоматизированные атаки будут только попробовать порты по умолчанию для например, SSH. Но порт по-прежнему будет отображаться как СШ в сканировании портов, и Шодан.Ио.

Эти автоматизированные атаки, как правило, рассчитаны на низко висящие плоды, со стандартными именами, такими как корень, Смит и так далее, и слабые пароли. Если им это удастся, у вас проблема в первую очередь.

Если вы настроить SSH, чтобы разрешить только ключ проверки подлинности, запретить вход под root, а использовать разумные пароли, используйте кроме того, fail2ban или аналогичный механизм для блокирования нарушителей, они'повторно не реальная угроза.

Я использую кроме того, fail2ban настроен, чтобы временно заблокировать пять минут после трех неудачных попыток, и на неделю после 3*5 неудачных попыток. Это снижает загромождение входа и блокирует какой-либо реальный прогресс на брутфорс.

Для целевой злоумышленника это не имеет значения, какой порт вещи слушать. Важно только для автоматизированных атак, что, по моему мнению, являются незначительными рисками.

Изменение порта по умолчанию не может спасти вас от сканирования портов и деткам скрипт, но вы не сможете устоять против целенаправленной атаки, при котором злоумышленник может определить запущенных служб не имеет никакого отношения к портам.

Если вы хотели просто получить от детишек сценария это может быть полезно, но вы не можете быть в состоянии защитить себя от остального атаки.

Моя рекомендация состоит в том, чтобы использовать порт по умолчанию (может сократить административные накладные расходы) и развернуть столикий безопасности для предотвращения атак.

Например с порта по умолчанию используется проверка подлинности на основе сертификатов развертывание с SSH разрешен только определенным надежных источников.

Я бы сказал Да, использовать номера-нормальные номера портов, так как это позволит отсеять большое количество автоматических ботов. но Дон'т полагаться на него, так как много ботов я заметил просканирует сеть/Хост на открытые порты и попробовать их.

Лучше всего реализовать некоторые хорошая безопасность на порт SSH. запретить вход под root'ом, белый список адресов, если вы можете, Дон'т использовать пароли для входа в систему ( используйте клавиши ), а также включить уведомления для любого входа. И настройки брандмауэра, это важно.

Закрывающие порты на высокие цифры, как это останавливается только простые боты, которые будут искать известные порты. Деткам сценария и определили хакеры могут просто сканирование портов остальной диапазон портов, чтобы найти службу, так вы не только прекратите шум журнала.

Это вовсе'т действительно вопрос о конвенции не стандартный порт для этой службы. Разработчики данного сервиса даст вам возможность запустить его на любом другом порту, и любую программу, которая может взаимодействовать с ним будет иметь возможность указать, какой порт вы хотите поговорить.

Я согласен с другими постами здесь, что чувствительные порты как SSH должен быть в привилегированном порту пространство ниже 1024.

Лучший способ непонятных SSH-сервера, который фактически работает, чтобы сделать порт стучать. Это связано с закрытием порта в iptables, пока последовательность порты на "валят", которую потом откроет нужный порт.

Например, вы может отправить пакет до 8000 4545 28882 7878. После нужной последовательности вводится в iptables откроет нужный порт. Это действительно остановит большинство детишек сценария и хакеров, так как порт не рекламируется. Но это не останавливает от атак, но в тот момент у вас есть проблемы поважнее, чем беспокоиться .

https://en.wikipedia.org/wiki/Port_knocking.

На самом деле вы должны быть через TCPWrappers и только позволяя известных адресов и диапазоны сетевых портов доступа как SSH. Вы должны позволить ИС's из Китая доступ по SSH? Или разработчики должны только доступ из офисной локальной сети? Если они будут работать удаленных сделать их VPN в локальной сети

Как упомянуто другими, миграция на нестандартный порт не является решением безопасности, потому что вы отфильтровываете только Naïатак ве-уровне.

Же время миграция может быть гораздо более ценным, если в сочетании с другими мерами предосторожности. Например, вы размещаете приманка на стандартный порт (среда, физически изолированных от остальной части вашей системы, но выглядит как законный кусок для злоумышленника). Затем, если вы видите кого-то сломал в горшочек он'вполне вероятно, быть хакером, так что вы можете авто-бан это или так.

И, конечно, вы не должны использовать устаревшие версии программ с известными уязвимостями, независимо от количества портов они'вновь привязать слушать.

Нет, это не так, или если я хочу быть более точным, то он'ы не так защита от угроз.

Сделать шаг назад: что такое опасная мы хотим защититься? Угроза, с которой мы'вновь пытается защитить от любого человека в интернете, кто может обойти нормальный механизм проверки подлинности. Что's то, что эти "и деткам скрипт" и пытаются сделать: доступ к серверу через SSH, даже если они'повторно не разрешается. В частности, ваш начальник хочет, чтобы предотвратить эти атаки даже не в состоянии начать создание SSH-соединение.

Что's для стандартной технологии для предотвращения создания сетевых подключений? Брандмауэром. Стандартный ответ на эту проблему-просто заблокировать порт 22 исключительно для внешнего трафика. Большая проблема здесь заключается в том, что СШ является общедоступной сети на все, и решает брандмауэр полностью, в то время как неизвестный порт скрывает только слегка и не'т на самом деле не допустить соединения. Если требуется внешний доступ, стандартный ответ, чтобы разрешить этот авторизованный доступ через VPN в сеть. Это позволит заблокировать деткам сценария и злоумышленники знаний, которые могли бы выяснить, как найти порт вы'вновь вообще-то используя.

Если вы потеряете 1% от нападавших, вы все равно потеряете. Вам нужны средства защиты, которые работают против 100% нападавших. Если вместо этого вы успешно блокирует 100% атак (до сих пор), то необходимо иметь более надежные меры защиты. Эти и другие меры защиты принять неизвестный порт неактуально, и если это (надеюсь) дело, все через другой порт не путай людей, кто более менее знаком с реальной практикой безопасности как себя и, вполне вероятно, тратить время людей, пытающихся получить законный доступ, когда они пытаются подключиться (новая система не настроена и придется просить кого-то правильный порт, админ забыл рассказать человеку о нестандартный порт и человек должен беспокоить их снова, чтобы диагностировать проблему и т. д.).

Вот почему мы твердим о том, что "Безопасность через неясность" и Kerckhoffs'ы принцип. Мы должны не отвлекать себя с практикой, что Дон'т на самом деле защищать нас. Мы должны сохранить наше время и силы для защиты, которые действительно работают, а не ложное чувство, что "безопасности", что эти методы обфускации дать нам.

Хочу добавить, что в конце концов, безопасность-это игра о ресурсах обеих сторон. Время-это такой ресурс.

Эта мера тратить время злоумышленники, поэтому она's не так плохо. Вы также можете узнать о нападавших ресурсы, когда они еще подключить к настраиваемому порту. Может быть, там'ы высокий интерес к цели в частности.

Однако, если это добавляет значительные накладные расходы на административные задачи, вы, возможно, захотите, чтобы инвестировать свое время где-то еще. Если бы тогда не сделать это, но Дон'т полагаться на него.

Используя нестандартные порты для наиболее уязвимых приложений-это очень хорошая практика. SSH имеет множество уязвимых мест, а 22-это стандартный порт по умолчанию для грубой силы.

Это, как говорится, это, наверное, зависит. Это's очень распространены, особенно в корпоративной среде, чтобы увидеть, грубой силы нападения на ДМЗ сервера против порт 22. Многие компании, в области финансов, например, использовать другой порт по умолчанию для SSH/SFTP, и трафик для действительной передачи данных между организациями.

Идея в этом случае-это больше о фильтрации шума (порт 22, перебрав), чтобы другой трафик на альтернативный порт легче контролировать. Тех, кто достаточно хорошо можете найти любой открытый порт на интернет-сервер.

Это рассматривается как форма снижения рисков или уменьшения риска.

Edit: я должен добавить: когда я говорю, что хорошая практика, Я'м говоря хорошая практика на вашем интернету устройств. Что за фаерволл-это вообще сейф.