Pourquoi changer le port ssh par défaut ?

Il s'agit d'un point de vue pratique : J'ai exploité pendant plus de quatre ans des serveurs ssh privés visibles par le public avec un port SSH modifié et je n'ai pas eu une seule tentative d'analyse de mot de passe. Pour les besoins de cette assurance qualité, j'ai activé le back 22 sur l'un d'entre eux pendant une journée. En conséquence, j'ai été scanné toutes les 10 minutes environ, avec une fréquence de tentatives de recherche de mot de passe d'environ 5 par seconde. En outre, les "scan kiddies" recherchent également des serveurs présentant certaines vulnérabilités OpenSSH.

Il est certain qu'il s'agit la sécurité par l'obscurité ce qui n'aide pas si vous avez un ennemi.

Cela fonctionne très bien, malgré les jérémiades des partisans de la "sécurité par l'obscurité".

Les lapins idiots, TOUTE la sécurité est une sécurité par l'obscurité. Ce n'est pas parce que vous pensez que l'obscur protocole cryptographique Z [nécessitant une combinaison d'échantillons d'ADN, de clés partagées et de mots de passe impossibles à taper par des humains] est réellement sûr qu'il l'est. En réalité, toutes les mesures de sécurité reposent sur des probabilités et des hypothèses de la part des utilisateurs. Tant pis pour vous si je sais comment exploiter cette hypothèse, mais c'est ainsi.

Quoi qu'il en soit,

C'est ce que nous faisons depuis des années, avec a) une limitation du taux de tentatives de connexion (cependant, je ne sais pas comment nous avons mis cela en place, quelque chose dans la configuration de ssh), et b) un script pour bannir tout hôte effectuant une attaque par dictionnaire avec plus de X fausses suppositions en Y minutes. Nous bannissons l'hôte qui établit la connexion pendant un certain temps, ce qui facilite l'adaptation à la topologie des réseaux changeants.

Si vos mots de passe sont suffisamment complexes et qu'ils ne peuvent faire que 3 tentatives en 15 minutes, il n'y a pas grand-chose à craindre. Il n'est pas non plus très difficile de surveiller les attaques distribuées - nous procédons généralement à un regroupement par sous-réseau et par adresse IP afin d'exclure ce genre de choses.

Enfin, tout ce dont vous avez besoin, c'est d'une méthode secrète d'écureuil pour autoriser les connexions à votre port en modifiant les règles f/w. Cela peut être n'importe quoi... smtp, web, requêtes dns magiques. Des choses comme SecurID ou Wikid ne font que donner plus d'informations à des tiers. Et ne me lancez pas sur les certificats sécurisés par des tiers.