sshのポートをデフォルトの22/tcpから変えるべきか論争
カテゴリー:インターネット(記事数:595)
 
 
 

2017.06.13

sshのポートをデフォルトの22/tcpから変えるべきか論争

確かにポートスキャンされたらすぐ分かるよな。ポートスキャンされた事を検出する仕組みも付けてないし。

俺、リンク先に書かれているPort knockingの類似法を採用してます。ネタばらししても問題無いと思うから書くけど、外に公開しているサーバーはたいていapache稼働しているのでそのサーバー上の特定のURLを叩くと3時間だけssh用に設定しているポートがオープンするようになっている(もちろんport22じゃない)。単なるport knockingよりは堅固性高いかな。

Category:インターネット



■ ■ ■ コメント ■ ■ ■

いいっすね!
001 [06/14 11:32]uspkt@OCN:knockd は開け閉め両方出来るし、普通は knock して来た IP 限定で開けるので、デフォのまま port 22 で問題ない。
002 [06/14 11:38]uspkt@OCN:あとは、fail2ban 併用しとけば、brute-force 対策としては十分だし、それでも心配なら OTP 使えば問題ない。
003 [06/14 11:40]uspkt@OCN:しかし、そもそもの話として、公開鍵認証強制で運用してれば、brute-force とか関係なくって port scan が log 残るのが気持ち悪いとかウザいって話でしかない。
004 [06/14 11:47]uspkt:連投規制解除〜
005 [06/14 11:47]uspkt@OCN:22 以外に移動とかデコイとかダミーのバナーとか意味わかんない。ゼロデイの exploit 前提で考えると、port scan に見つかる時点で、それらの努力は何の意味も為さない。
006 [06/14 21:25]通りすがり@Plala:上記意見に同意。公開鍵認証強制+IP制限で必要十分かと。
007 [06/15 08:38]Nexus5User:>>003 に同意で、公開鍵onlyにすれば必要十分だと思う。「端末が盗まれたとき、中の鍵をどう無効化するか」という問題はあるけど、鍵にパスワードを掛ける+バックアップ端末から入って対応するくらいか。

名前 ↑B

コメント(※改行は省略されます)

※3回以上の連続書き込み不可
この記事のアクセス数: 本日の記事一覧に戻る

→カテゴリー:インターネット(記事数:595)

アクセス数の多い記事(過去1ヶ月)

国民年金「4割が未払い」のウソ(社会)1496access
駐車スペースに自分でインターロッキングを敷き詰めてみた。うわぁああああああああ(木造2階建ての屋上に20畳のルーフテラスを付けるぞ!)1403access
40歳の独身女性が電車に轢かれ「シティーハンター」の世界に転生する物語を描く「今日からCITY HUNTER」スタート(アニメ・マンガ・ヲタク)1104access
コンクリートが簡単に切れると思った俺がバカだったorz(木造2階建ての屋上に20畳のルーフテラスを付けるぞ!)1085access
2017年の物欲その30:ソニーの第2世代デジタルペーパーDPT-PR1購入!普通に紙のノートを超えていた!(動画3つ)(商品購入レビュー)1007access

すべて見る