J'ai remarqué que beaucoup d'administrateurs changent le port ssh par défaut.
Existe-t-il une raison rationnelle de le faire ?
Réponses
Trop de publicités?
Ce n'est pas aussi utile que certains le prétendent, mais cela réduira au moins l'impact sur vos fichiers journaux, car de nombreuses tentatives de connexion par force brute n'utilisent que le port par défaut au lieu de rechercher si SSH écoute ailleurs. Cependant, certaines attaques rechercheront SSH ailleurs, ce n'est donc pas une solution miracle.
Si votre serveur est destiné à être une sorte d'hôte partagé, plutôt qu'à répondre aux besoins de vos projets, l'utilisation d'un port autre que celui par défaut peut être pénible, car vous devrez l'expliquer à vos utilisateurs à maintes reprises lorsqu'ils l'oublieront et que leurs programmes clients ne parviendront pas à se connecter au port 22 !
Un autre problème possible avec SSH sur un port non standard est que vous rencontrez un client avec un filtre sortant restrictif, qui ne peut pas se connecter à votre port personnalisé parce que son filtre n'autorise, par exemple, que les ports 22, 53, 80 et 443 comme destination pour les nouvelles connexions sortantes. Cette situation est peu courante, mais elle n'est certainement pas inédite. Dans le même ordre d'idées, certains FAI peuvent considérer le trafic crypté sur un port autre que ceux où il est généralement attendu (port 443 pour HTTPS, 22 pour SSH, etc.) comme une tentative de dissimuler une connexion P2P et de l'étrangler (ou de la bloquer) d'une manière gênante.
Personnellement, je garde SSH sur le port standard pour des raisons de commodité. Tant que les précautions habituelles sont prises (politique de mot de passe/clé forte, restriction des connexions root, ...), il n'y a pas lieu de s'inquiéter et le problème de la croissance du fichier journal en cas d'attaque par force brute peut être atténué à l'aide d'outils tels que fial2ban pour bloquer temporairement les hôtes qui donnent trop de mauvaises séries d'identifiants d'authentification dans un laps de temps donné.
Quel que soit le port choisi, si vous vous éloignez du 22, assurez-vous qu'il est inférieur à 1024. Dans la plupart des configurations de type Unix, dans leur configuration par défaut, seul root (ou les utilisateurs du groupe root) peut écouter sur les ports inférieurs à 1024, mais n'importe quel utilisateur peut écouter sur les ports supérieurs. L'exécution de SSH sur un port plus élevé augmente le risque qu'un utilisateur malhonnête (ou piraté) parvienne à planter votre démon SSH et à le remplacer par son propre démon ou par un proxy.
Joey deVilla
Points
4487
Il s'agit d'une forme simple (mais étonnamment efficace) de la sécurité par l'obscurité .
Si votre serveur SSH n'est pas sur le port 22, il a beaucoup moins de chances d'être trouvé par ceux qui scrutent tout l'internet à la recherche de mots de passe faibles sur des comptes par défaut. Si vous scannez l'ensemble du réseau, vous ne pouvez pas vous permettre de vérifier les 64 000 ports possibles pour trouver le serveur SSH.
Toutefois, si quelqu'un vous cible activement, cela n'apporte aucun avantage, puisqu'une simple opération ponctuelle de nmap révélera le port sur lequel il fonctionne actuellement.
Ali Mezgani
Points
3770
Howiecamp
Points
171
Je lancerais ssh sur le port standard et j'utiliserais quelque chose comme fail2ban o refuser les hôtes pour limiter le nombre d'attaques par dictionnaire.
Une autre option consiste à désactiver la connexion par mot de passe et à n'autoriser que les connexions par clé ssh.
Jeevan Kumar Mohanty
Points
61
L'utilisation d'un port ssh non standard nécessiterait davantage d'explications et de documentation, ainsi que la réponse aux courriels "Je ne peux pas me connecter".
Je prends en compte les éléments suivants avantages de l'exécution de sshd sur un non standard L'importance du port est plus grande que celle des problèmes qu'il engendre :
- 99,9999 % des attaques par force brute sont effectuées par des robots qui ne recherchent que le port 22 et ne perdent jamais de temps à essayer de découvrir le port non standard. Les attaques par force brute et les contre-mesures telles que refuser les hôtes o fail2ban consomment des ressources, que vous économiserez en exécutant simplement le serveur ssh sur un port non standard.
- Vous vous débarrasserez ainsi de tous les rapports inutiles sur les robots qui tentent de s'introduire dans votre système. Si une IP apparaît dans le rapport sur les échecs de connexion, il y a de fortes chances qu'il s'agisse d'un être humain.
De plus, si vous voulez être vraiment méchant, vous pouvez toujours lancer un faux sshd (avec DenyUsers * ) sur le port standard 22, alors que votre sshd habituel fonctionne sur le port 54321. Vous avez ainsi l'assurance que tous les robots et intrus tenteront éternellement de se connecter à un service qui refuse toute connexion, car personne n'aura jamais l'idée d'essayer de trouver votre réel service sshd.
Mes deux centimes.
- Réponses précédentes
- Plus de réponses
