Pourquoi changer le port ssh par défaut ?

Le problème est que le pare-feu est configuré pour n'autoriser que certaines IP à se connecter et que le patron en a assez d'ouvrir des IP spécifiques lorsqu'il est en déplacement. Si vous verrouillez certaines IP au niveau du pare-feu, cela peut s'avérer fastidieux.

Deux choses me viennent à l'esprit. Le changement de port protège contre les attaques automatisées. C'est à peu près tout, mais c'est une grande partie du trafic d'attaque moyen... des scripts automatisés qui scannent les réseaux. Si vous changez le port par défaut, ces attaques devraient être réduites à néant. Cela a donc du sens à cet égard. Mais cela ne fait rien contre une attaque dirigée, car l'attaquant peut simplement scanner à partir de Nessus ou NMAP pour déterminer quel(s) port(s) vous utilisez si vous avez un petit ami spécial qui vous déteste suffisamment.

Deuxièmement, si vous utilisez des serveurs de type UNIX, vous pouvez installer un utilitaire tel que Denyhosts pour bloquer les attaques. Si vous installez denyhosts, il surveille les tentatives de connexion incorrectes et, après (un nombre que vous déterminez) d'essais infructueux, il bannit l'IP pour une période de temps que vous spécifiez. Denyhosts peut également communiquer avec d'autres hôtes denyhost et transmettre des listes de bannissement, de sorte que si un attaquant se voit interdire l'accès au système Linux de Fred dans le Montana, votre système recevra également cette IP à bannir. Très utile tant que les utilisateurs se souviennent de leurs mots de passe.

Tout dépend de vos scénarios d'utilisation. Combien de programmes avez-vous qui sont une "plaie" pour changer le port de connexion pour SSH/SCP (et s'ils ne le permettent pas ou le rendent pénible, vous devez vraiment envisager de changer de fournisseur, personnellement). S'il ne s'agit que d'une crainte potentielle, je dirais que ce n'est pas un problème. Et c'est votre patron qui vous demande quelque chose qui n'est pas complètement farfelu puisque beaucoup d'administrateurs système retournent le port SSH (avec quelques critiques de la part de ceux qui détestent tout ce qui sent même légèrement la sécurité par l'obscurité... mais cela permet vraiment de réduire le bruit de fond des scans automatiques).

En résumé, changer le port bloque les scripts automatisés et la plupart du mauvais trafic. Cela n'arrêtera pas les attaquants directs. Envisagez également d'installer un utilitaire de bannissement automatisé. La sécurité en couches ne vous fait pas de mal si elle est effectuée correctement et la modification des ports aide plus qu'elle ne nuit dans la plupart des situations.

J'utilise SSH sur le port >1024 depuis plus de 5 ans maintenant. Depuis lors, je n'ai vu aucune tentative de portscan dans mon fichier journal (sauf de ma part). Il y a mes serveurs que j'administre qui fonctionnent sur le port >1024.

De nombreux serveurs SSH fonctionnant sur le port >1024 ont leur propre site web, qui est assez populaire.

Si le serveur SSH fonctionnait dans ma propre entreprise, j'aurais peut-être déjà posté l'adresse IP de ce serveur ici pour que vous puissiez essayer de le pirater. Malheureusement, le serveur SSH n'est pas le mien ;-)

Mais il y a d'autres choses qu'il faut mettre en place pour le sécuriser. SSH >1024 ne suffit pas. Le numéro de port ne doit pas figurer dans le fichier /etc/services, il faut utiliser une redirection de port (par exemple le port 1124->22), l'accès direct à Root doit être désactivé et d'autres choses encore.

Donc, si vous voulez argumenter, vous feriez mieux de faire fonctionner SSH sur le port >1024 pendant quelques années.

p/s : 1124 n'est pas mon numéro de port SSH. Haha.

Je suppose que si vous n'avez pas encore découvert le portage, c'est pratique, sinon, non.

Déplacer SSH sur un port différent a du sens, cela aide à la sécurité mais pas énormément. Bien sûr, pour ce faire, vous devez contrôler vos pare-feux, mais ce n'est pas un problème pour vous. Ce qui, à mon avis, annule l'avantage de déplacer le port est l'ouverture de la gamme acceptée - en fait, je dirais que cela fait plus qu'annuler l'avantage et vous expose davantage que vous ne l'êtes aujourd'hui. Je suis sûr que vous pouvez le convaincre de déplacer le port ET de réduire considérablement le champ d'action en dressant une liste des points d'entrée probables au lieu de les ouvrir tous.

Changer de port ssh est un exercice inutile qui n'apporte qu'une sécurité limitée. Il est préférable de désactiver l'authentification par mot de passe, ce qui élimine le risque de tentatives de force brute, et de s'appuyer exclusivement sur l'authentification par clé ssh. Si votre environnement exige une authentification par mot de passe, adoptez un mécanisme à deux facteurs, comme SecurID ou Wikid.

Ces deux mesures permettent d'accroître réellement la sécurité, alors que la modification du port ssh ne donne qu'une illusion de sécurité.