ツイート
2017.06.13
sshのポートをデフォルトの22/tcpから変えるべきか論争
確かにポートスキャンされたらすぐ分かるよな。ポートスキャンされた事を検出する仕組みも付けてないし。
俺、リンク先に書かれているPort knockingの類似法を採用してます。ネタばらししても問題無いと思うから書くけど、外に公開しているサーバーはたいていapache稼働しているのでそのサーバー上の特定のURLを叩くと3時間だけssh用に設定しているポートがオープンするようになっている(もちろんport22じゃない)。単なるport knockingよりは堅固性高いかな。
Category:インターネット
コメント
いいっすね!
001 [06.14 11:32]uspkt@OCN:knockd は開け閉め両方出来るし、普通は knock して来た IP 限定で開けるので、デフォのまま port 22 で問題ない。 ↑
002 [06.14 11:38]uspkt@OCN:あとは、fail2ban 併用しとけば、brute-force 対策としては十分だし、それでも心配なら OTP 使えば問題ない。 ↑
003 [06.14 11:40]uspkt@OCN:しかし、そもそもの話として、公開鍵認証強制で運用してれば、brute-force とか関係なくって port scan が log 残るのが気持ち悪いとかウザいって話でしかない。 ↑
004 [06.14 11:47]uspkt:連投規制解除? ↑
005 [06.14 11:47]uspkt@OCN:22 以外に移動とかデコイとかダミーのバナーとか意味わかんない。ゼロデイの exploit 前提で考えると、port scan に見つかる時点で、それらの努力は何の意味も為さない。 ↑
006 [06.14 21:25]通りすがり@Plala:上記意見に同意。公開鍵認証強制+IP制限で必要十分かと。 ↑
007 [06.15 08:38]Nexus5User:>>003 に同意で、公開鍵onlyにすれば必要十分だと思う。「端末が盗まれたとき、中の鍵をどう無効化するか」という問題はあるけど、鍵にパスワードを掛ける+バックアップ端末から入って対応するくらいか。 ↑
→カテゴリー:インターネット(記事数:720)
アクセス数の多い記事(過去1ヶ月)
