কেন ডিফল্ট এসএস পোর্ট পরিবর্তন?

19

আমি লক্ষ্য করেছি অনেক প্রশাসক ডিফল্ট এসএস পোর্ট পরিবর্তন করে। এটি করার কোনও যুক্তিযুক্ত কারণ আছে কি?

ssh security

— sheerun
সূত্র

3

এফডব্লিউআইডাব্লু, সার্ভার ফল্টের ঠিক একই প্রশ্ন: সার্ভারসফল্ট / প্রশ্নস / ১৮৯২২২ / কেন- পরিবর্তন-default-ssh-port ।

— জোনিক

27

সম্ভবত সম্ভাব্য কারণ হ'ল লোকেরা এলোমেলোভাবে তারা যে কোনও এসএসএইচ লগইন সন্ধান করতে পারে তার জন্য জোর করে চাপিয়ে দেওয়ার চেষ্টা করছে for আমার ইন্টারনেট-মুখী মেশিনটি ডিফল্ট এসএসএইচ পোর্ট ব্যবহার করে এবং আমার লগগুলি এই জাতীয় স্টাফ দিয়ে পূরণ করা হত (আসল লগ ফাইল থেকে উদ্ধৃত):

sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96

এই দিনগুলিতে আমি আইপিগুলিকে ব্লক করতে অস্বীকার করি যা অনেকবার প্রমাণীকরণ করতে ব্যর্থ হয় তবে কেবল পোর্টগুলি স্যুইচ করা ঠিক তত সহজ; কার্যত এই ধরণের সমস্ত বর্বর আক্রমণগুলি আপনার এসএসডি অন্য কোনও বন্দরে শুনছে কিনা তা দেখার জন্য স্ক্যানকে বিরক্ত করছে না, তারা কেবল ধরে নিবে আপনি একটি চালাচ্ছেন না এবং এগিয়ে চলেছেন

— মাইকেল মরোজেক
সূত্র

15

না, এটি অস্পষ্টতার কৌশল দ্বারা একটি সুরক্ষা ।

যদি আপনার এসএসডি সেটআপটি কেবল বোতাম 22 চেষ্টা করে বোবা স্ক্রিপ্ট কিডির মুখোমুখি হওয়ার পক্ষে উপযুক্ত না হয় তবে আপনার কোনও সমস্যা আছে।

আরও যুক্তিযুক্ত প্রতিক্রিয়া হবে:

নিশ্চিত হয়ে নিন যে আপনার ব্যবহারকারীরা ভাল পাসওয়ার্ড ব্যবহার করছেন যা অনুমান করা / জোর করে বল প্রয়োগ করা শক্ত
পাসওয়ার্ড-প্রমাণীকরণ (কমপক্ষে গুরুত্বপূর্ণ অ্যাকাউন্টগুলির জন্য) অক্ষম করুন এবং কেবল সর্বজনীন-কী-প্রমাণীকরণ ব্যবহার করুন
এসএস-সুরক্ষা সমস্যা এবং আপগ্রেডগুলির জন্য নজর রাখুন

সিস্টেম লগতে sshd লেখার ফলে কিছু লোক বিরক্তও হতে পারে, যেমন:

Jan 02 21:24:24 example.org sshd[28396]: Invalid user guest from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28396]: input_userauth_request: invalid user guest [preauth]
Jan 02 21:24:24 example.org sshd[28396]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Jan 02 21:24:24 example.org sshd[28398]: Invalid user ubnt from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28398]: input_userauth_request: invalid user ubnt [preauth]
Jan 02 21:24:24 example.org sshd[28398]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth

এরপরে আবার সংকেত-থেকে- শোরের অনুপাত বাড়ানোর জন্য sshd বন্দরটিকে অস্পষ্ট করার জন্য বা একটি স্বয়ংক্রিয় ব্লকিং সমাধান (যেমন ড্যানিহোস্টস, ফেইলবাবান বা ব্লকহোস্ট) ব্যবহার করা লোভজনক হতে পারে ।

তবে এর চেয়ে ভাল বিকল্প রয়েছে। উদাহরণস্বরূপ, আপনি আপনার সিসলগ ডেমনকে এমনভাবে কনফিগার করতে পারেন যে sshd লগ শব্দটি কেবল - বলতে - লিখতে লেখা হয় /var/log/sshd-attempts.logএবং সিগন্যাল (অর্থাত্ অবশিষ্ট sshd লগ বার্তা) /var/log/messagesইত্যাদিতে পূর্বের মতো লেখা হয় ।

স্বয়ংক্রিয় ব্লক সরঞ্জামের স্থাপনার বিবেচনা করা উচিত সাবধানে এছাড়াও প্রাসঙ্গিক সিস্টেম উপায়ে নিরাপত্তা আরো জটিলতা যোগ বৃদ্ধি কারণ ঝুঁকি নিয়ে শোষণ । এবং প্রকৃতপক্ষে, বছরের পর বছর ধরে, বেশ কিছু আছে DoS দুর্বলতার প্রত্যেকের জন্য রিপোর্ট DenyHosts , Fail2ban এবং BlockHosts ।

— maxschlepzig
সূত্র

4

আমি "অস্পষ্টতার দ্বারা এটি সুরক্ষা" এর সাথে সত্যই আমি একমত হই না বলে আমি মনে করি, এই উত্তরটি এই ক্ষেত্রে একটি সাধারণ ভুল। @ মাইকেল এর যুক্তি সাধারণত এটি অন্য কোথাও থাকার আরও ভাল কারণ দেখায়। এটি বেশিরভাগই কেবল সমস্ত স্ক্রিপ্টযুক্ত বোটেড আক্রমণ থেকে মুক্তি পেতে পারে। অগত্যা এই নয় যে আপনি তাদের ভয় পান, বা এটি একটি নির্ধারিত আক্রমণকারীর বিরুদ্ধে কার্যকর বিবেচনা করেন। আমি জানি আমি কখনই চিন্তিত হইনি যে তারা আসলে প্রবেশ করবে but তবে সমস্ত লগ ক্রাফ্ট বিরক্তিকর ছিল।

— xenoterracide

1

@ এক্সেনোটেরাকাইড: আপনি যদি কেবলমাত্র আপনার লগ ফাইলগুলির পঠনযোগ্যতার জন্যই উদ্বিগ্ন হন তবে পোর্টকে অস্পষ্টতার কৌশল হিসাবে পরিবর্তনের পরিবর্তে গোলমাল বাদ দেওয়ার আরও ভাল বিকল্প রয়েছে, যা ছিল প্রশ্ন। আইপি ব্লক করা সম্পর্কিত, যা এই প্রশ্নের অংশ ছিল না: দয়া করে নোট করুন যে সুরক্ষা সম্পর্কিত সিস্টেমগুলিতে আরও জটিলতা যুক্ত করার অর্থ শোষণের ঝুঁকি বাড়ানোও। উদাহরণস্বরূপ seclists.org/fulldisclosure/2007/ জুন/ 121 ossec.net/main/attacking-log-analysis-tools বিবেচনা করুন । হ্যাঁ, ড্যানিহোস্টগুলি এটি দ্বারা প্রভাবিত হয়েছিল।

— maxschlepzig

1

মনে পড়ার যোগ্যতা ছাড়াও আরও অনেক কিছু রয়েছে। সঠিকভাবে নথিভুক্ত বন্দর পরিবর্তন অস্পষ্টতার দ্বারা সুরক্ষা নয়।

— xenoterracide

4

এসএসএইচ বন্দর পরিবর্তন বেশিরভাগ সুরক্ষা থিয়েটার । এটি আপনাকে কিছু করার একটি अस्पष्ट অনুভূতি দেয়। আপনি এসএসএইচ বন্দরটি ডোরমেটের নীচে লুকিয়ে রেখেছেন।

আপনি যদি ইন্টারনেটে কোনও এসএসএইচ সার্ভার চালান, আপনি আপনার লগগুলিতে প্রচুর ব্যর্থ লগইন প্রচেষ্টা দেখতে পাবেন, যে বটগুলি বোকা দুর্বল পাসওয়ার্ডগুলি, দুর্বল কীগুলি এবং সার্ভারের পুরানো সংস্করণগুলিতে পরিচিত শোষণগুলি সন্ধান করছে from ব্যর্থ প্রচেষ্টা কেবলমাত্র: ব্যর্থ প্রচেষ্টা। আপনি যতটা দুর্বল তা মূল্যায়ন করার ক্ষেত্রে এগুলি সম্পূর্ণ অপ্রাসঙ্গিক। আপনার যা উদ্বিগ্ন হওয়া দরকার তা হ'ল সফল প্রবেশের প্রচেষ্টা এবং আপনি আপনার লগগুলিতে সেগুলি দেখতে পাবেন না।

ডিফল্ট পোর্ট পরিবর্তন করা এই জাতীয় বটগুলির দ্বারা হিটগুলির সংখ্যা হ্রাস করবে, তবে এটি কেবলমাত্র উপযুক্ত সুরক্ষার দ্বারা থামানো সবচেয়ে কম পরিশীলিত আক্রমণকারীদের ব্যর্থ করে দেয় (সুরক্ষা আপডেটগুলি নিয়মিত প্রয়োগ করা হয়, যুক্তিসঙ্গত শক্তিশালী পাসওয়ার্ড বা অক্ষম পাসওয়ার্ড প্রমাণীকরণ)। একমাত্র সুবিধা হ'ল লগগুলির ভলিউম হ্রাস করা। যদি এটি কোনও সমস্যা হয় তবে পরিবর্তে সংযোগের হারটি সীমাবদ্ধ করার জন্য ড্যানিহোস্টস বা ফেইলব্যাবনের মতো কিছু বিবেচনা করুন, এটি আপনার ব্যান্ডউইথকেও ভাল করবে।

ডিফল্ট পোর্ট পরিবর্তন করার একটি বড় অসুবিধা রয়েছে: এটি আপনাকে ফায়ারওয়ালের পিছনে থেকে লগ ইন করতে সক্ষম হওয়ার সম্ভাবনা কম করে। ফায়ারওয়ালগুলি কিছু এলোমেলো অন্যান্য বন্দরের চেয়ে তাদের ডিফল্ট পোর্টে পরিষেবাগুলি সরবরাহ করার সম্ভাবনা বেশি। যদি আপনি এইচটিটিপিএস সার্ভারটি চালাচ্ছেন না, তবে এসএসএইচটিকে 443 বন্দরটিতে শুনতে (বা ইনকামিং টিসিপি রিকোয়েস্ট 443 থেকে পোর্ট 22-এ পুনর্নির্দেশ করুন) হিসাবে বিবেচনা করুন, কারণ কিছু ফায়ারওয়াল ট্র্যাফিকের অনুমতি দেয় যে তারা 443 বন্দরটিতে ডিকোড করতে পারে না কারণ এটি দেখে মনে হচ্ছে HTTPS এর মতো।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র