De nombreux guides de configuration de serveurs recommandent de modifier le port SSH en quelque chose de > 1024, pour des raisons d'obscurité et pour éviter les conflits.
C'est intéressant, car il recommande d'utiliser un port < 1024, car il serait privilégié :
http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics
Que pensez-vous de cette pratique ?
Eh bien, vous pourriez changer le port de 22 à quelque chose de différent, oui. Mais ce n'est rien qu'un scan de port ne puisse montrer à la fin.
Si vous êtes préoccupé par la sécurité et SSH, désactivez complètement l'authentification par mot de passe uniquement. Activez également un analyseur de journaux de surveillance, comme fail2ban, configuré pour interdire les hôtes malveillants qui exécutent leurs analyses sur votre site.
Et si vous êtes encore plus préoccupé par la sécurité, alors il y a une chose pour laquelle changer le port a du sens : changez-le en quelque chose de peu commun et mettez en place le port knocking !
Le changement de port seul ne fait pas grand-chose, le changement de port avec frappe active du port est une toute autre affaire !
Vous avez différentes options. Chacune a des inconvénients. Alors quel inconvénient préférez-vous ?
sshd est en panne, donc il y a une fenêtre d'opportunité quand sshd est en cours de redémarrage.Si vous gardez autrement votre sshd En toute sécurité, il semble que vous ayez le choix entre l'inondation des journaux par les hôtes distants et la possibilité de déni de service pour les utilisateurs locaux. Les entrées de journaux pourraient être atténuées par une sorte de blocage automatique, ce qui malheureusement vous ouvre à un type d'attaque DoS potentiellement différent.
Les ports inférieurs à 1024 sont réservés aux démons et services qui utilisent CAP_NET_BIND_SERVICE par le noyau, l'un d'entre eux étant SSH.
En fait, la modification du port ssh n'apporte pas beaucoup d'améliorations en matière de sécurité, car un scan trouvera toujours des ports ouverts. Vous aurez moins d'entrées de journal causées par des attaques essayant des mots de passe par défaut ou des tables de mots de passe sur les ports par défaut d'hôtes aléatoires, mais si vous configurez correctement votre ssh, cela ne devrait pas être un problème.
Le problème est que si vous vous connectez à votre serveur à partir d'un environnement où le trafic sortant est limité aux ports standard, vous aurez un problème. Pour moi, garder SSH sur le port par défaut est la meilleure pratique, mais je suppose que certaines personnes sont prêtes à discuter de cette question.
Je ne suis pas tout à fait d'accord avec les autres réponses, car changer le port ne vous protège pas nécessairement contre une attaque ciblée (dans ce cas, quelqu'un pourrait simplement scanner tous les ports et trouver celui de SSH), mais cela vous protège contre les botnets qui font du bruteforce sur des hôtes aléatoires ou sélectionnés avec des dictionnaires. Et même dans ce cas, je suppose que toute personne technique digne de ce nom saura s'assurer que les mots de passe sont suffisamment forts, sans compter que les nouvelles installations de logiciels exigent effectivement des mots de passe forts. Je pense qu'il vous protège contre les attaques par déni de service distribuées qui pourraient vraiment ralentir votre serveur, remplir les journaux de conneries, etc. Si fail2ban & co. peuvent faire du bon travail contre un seul hôte qui fait cela, ils sont plutôt inefficaces contre un très gros botnet.
D'un autre côté, je ne vois pas pourquoi vous laisseriez votre port SSH ouvert à l'Internet, à moins que vous ne gériez quelque chose comme un hébergeur web qui fournit un accès SSH ou autre. Sinon, vous ne devriez autoriser que des IP très spécifiques auxquelles vous faites confiance à se connecter à SSH, c'est LA MEILLEURE pratique. Pas de blocage de port, pas de changement de port, pas de fail2ban.
Donc, si vous me demandez, il y a 2 options :
EDIT :
J'ai oublié le truc des plus de 1024 et des moins de 1024. De nombreux pare-feu ont en effet des règles spécifiques qui peuvent rendre l'utilisation d'un port inférieur à 1024 plus logique. Par exemple, il existe des pare-feu qui refusent les connexions entrantes sur les ports supérieurs à 1024 (de sorte que vous devez vraiment avoir un service démarré avec root ou les capacités requises du noyau qui écoute un port et non un exploit), d'autres pare-feu donnent plus de priorités aux ports inférieurs afin que les services du système puissent en bénéficier, etc.
Je ne vois pas d'avantage de sécurité à changer SSH pour un port non standard. Il ne devrait pas y avoir de conflit en restant sur le port 22, puisque ce port est réservé à SSH. Et si la sécurité de votre serveur SSH dépend de son fonctionnement sur un port non standard, vous ne faites pas votre travail.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
