Если заглянуть в логи, пожалуй любого SSH-сервера, то вы там однозначно увидите массу попыток установления соединения, брутфорсов, переборов имен пользователей и прочую муть. И все это происходит постоянно, час за часом, изо дня в день. Для себя я эту проблему решил уже довольно давно, используя по настроению порты свыше 1024.
В этой связи встает вопрос, что даст смена стандартного порта?
Можно провести небольшой опыт задав в конфиге сервера sshd_config несколько значений для сервиса:
Port 22
Port 28356
а в фаервольных правилах
-A INPUT -i eth0 -m tcp -p tcp –dport 22 -j LOG –log-level 7 –log-prefix “Logged port 22 ”
-A INPUT -i eth0 -m tcp -p tcp –dport 28356 -j LOG –log-level 7 –log-prefix “Logged port 28356 ”
после чего оставить силки открытыми на какое то время, с тем, чтобы посмотреть результаты манипуляции позже..
*** Обновление от 27.08: за 12 часов, прошедших с момента реконфига сервера, правда путем внесения изменений в ipfilter , произошло 1335 попыток подключения на 22 порт и ни одной попытки на 28356 порт.
Эти цифры наглядно демонстрируют то факт, что единицы злоумышленников ищут демонов на не стандартных портах, причем попытка найти демона на порту, отличном от стандартного, с большой вероятностью будет осуществляться за счет сканирования, которое можно предотвратить за счет использования IPS или же сервиса Port Sentry. Следовательно, в случае обнаружения уязвимости сервера SSH типа zero-day шанс того, что эксплоит будет использован против сервиса крутящегося на нестандартном порту, в тысячи раз ниже чем против сервисов использующих стандартные значения.
Хакеру гораздо проще и быстрее найти сотни демонов использующих стандартный 22 порт, чем морочиться с системой, где порт теряется в десятках тысяч неиспользуемых портов. Из чего следует, что простейшая процедура может повысить безопасность вашего сервиса на порядки.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Теги: IT безопасность, Сети
