it-swarm-es.com

¿Por qué cambiar el puerto SSH predeterminado?

He notado que muchos administradores cambian el puerto SSH predeterminado. ¿Hay alguna razón racional para hacerlo?

19
sheerun

La razón más probable es hacer que sea más difícil para las personas que intentan aleatoriamente a la fuerza bruta cualquier inicio de sesión SSH que puedan encontrar. Mi máquina orientada a Internet utiliza el puerto SSH predeterminado, y mis registros solían estar llenos de cosas como esta (extraídas de un archivo de registro real):

sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user Oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user Tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96

Estos días que uso denyhosts para bloquear las IPs que no logran autenticar demasiadas veces, pero es probable que sea tan fácil simplemente cambiar de puerto; virtualmente, todos los ataques de fuerza bruta de este tipo no van a molestar a escanear para ver si su SSHD está escuchando en otro puerto, solo asumirán que no está ejecutando uno y sigue adelante

27
Michael Mrozek

No, es un seguridad por oscuridad táctica.

Si su configuración SSHD no está en forma suficiente para enfrentar los secuencias de guiones tontos, solo intentan el puerto 22, de todos modos tiene un problema.

Una reacción más racional sería:

  • asegúrese de que sus usuarios usen buenas contraseñas que sean difíciles de adivinar/Fuerza Bruta
  • deshabilite la autenticación de contraseña (al menos para cuentas importantes) y solo use la autenticación de clave pública
  • cuidado con los problemas de seguridad de SSH y las actualizaciones.

Algunas personas también pueden molestarse por el ruido SSHD escribe en el registro del sistema, por ejemplo:

Jan 02 21:24:24 example.org sshd[28396]: Invalid user guest from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28396]: input_userauth_request: invalid user guest [preauth]
Jan 02 21:24:24 example.org sshd[28396]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Jan 02 21:24:24 example.org sshd[28398]: Invalid user ubnt from 212.129.23.128
Jan 02 21:24:24 example.org sshd[28398]: input_userauth_request: invalid user ubnt [preauth]
Jan 02 21:24:24 example.org sshd[28398]: error: Received disconnect from 212.129.23.128: 3: com.jcraft.jsch.JSchException: Auth fail [preauth

Puede entonces ser tentador de oscurecer el puerto SSHD o usar una solución de bloqueo automático (como Denyhosts, Fail2ban o Blockhosts) para aumentar la relación de señal a ruido nuevamente.

Pero las mejores alternativas existen. Por ejemplo, puede configurar su demonio de SYSLOG, de manera que el ruido de registro SSHD solo esté escrito para: por ejemplo, /var/log/sshd-attempts.log Y la señal (es decir, los mensajes de registro SSHD restantes) se escribe en /var/log/messages Etc. como antes.

El despliegue de las herramientas de bloqueo automático debe considerarse cuidadosamente porque agregar más complejidad a los sistemas relevantes de seguridad significa también aumentar el riesgo de explotación . Y, de hecho, a lo largo de los años, hay varios vulnerabilidad de DOS informes para cada uno denyhosts , Fail2ban y Blockhosts .

15
maxschlepzig

Cambiar el puerto SSH es en su mayoría Teatro de seguridad . Te da una sensación borrosa de haber hecho algo. Has ocultado el puerto SSH bajo el felpudo.

Si ejecuta un servidor SSH en Internet, verá muchos intentos de inicio de sesión fallidos en sus registros, desde bots que buscan contraseñas estúpidamente débiles, teclas débiles y hazlas conocidas en versiones anteriores del servidor. . Los intentos fallidos son solo que: Falló intentos. En cuanto a la evaluación de lo vulnerables, son completamente irrelevantes. Para qué debes preocuparse es los exitosos intentos de intrusión, y no verás a los que están en tus registros.

Cambiar el puerto predeterminado reducirá el número de hits por dichos bots, pero que solo lleve a los atacantes menos sofisticados que se detienen por cualquier seguridad decente (actualizaciones de seguridad aplicadas con regularidad, contraseñas razonablemente sólidas o autenticación de contraseña deshabilitada). La única ventaja está reduciendo el volumen de registros. Si ese es un problema, considere algo como denyhosts o Fail2ban para limitar la tasa de conexión en su lugar, también hará que su ancho de banda sea bueno.

Cambiar el puerto predeterminado tiene una desventaja importante: le hace menos probable que pueda iniciar sesión desde detrás de un firewall. Los firewalls tienen más probabilidades de dejar que los servicios a través de su puerto predeterminado que en algún puerto aleatorio. Si no está ejecutando un servidor HTTPS, considere hacer que SSH escuche el puerto 443 también (o redirigir el ingreso TCP solicitudes del puerto 443 al puerto 22), ya que algunos firewalls permiten el tráfico que pueden No se decodifica en el puerto 443 porque parece https.