لقد تعثرت في
مناقشة قبل ثلاثة أشهر حول الحاجة إلى ميناء SSH. الكثير من المشاركين في المناقشة مقتنعون بأنه لا توجد حاجة لنقل المنفذ إلى منفذ غير قياسي.
يكفي التبديل إلى ترخيص المفتاح وتثبيت Fail2ban ، وسيكون هذا بالفعل ضمانًا للأمان. للأسف ، نحن نعيش في عالم حقيقي يتغير باستمرار ولم تعد الإجراءات الأمنية المقترحة كافية دائمًا.
دعونا نرى - ترك تفويض المفتاح مفتاحين ssh آمنين نسبيًا - RSA-4096 و ED25519 ، لم تعد مفاتيح DSA مضمنة في أحدث إصدارات OpenSSH. في هذه الحالة ، يجب على المرء أن يأخذ في الاعتبار وجود بعض الشكوك على الإنترنت حول موثوقية ED25519 ، جوجل للمساعدة ، إذا كان أي شخص مهتم.
بالإضافة إلى المفاتيح ، يوصى باستخدام عبارة مرور طويلة نوعًا ما لمفاتيحك من أحرف عشوائية بأحرف وأرقام مختلفة ، على الأقل.
هجمات القوة الغاشمة - دعنا نرى لفترة وجيزة ما يحدث إذا تمت مهاجمة مضيفك عن قصد.
المرحلة 1 - جمع معلومات المضيف ، بما في ذلك المنافذ المفتوحة
هذه المجموعة من المعلومات بعيدة كل البعد عن أن تنعكس دائمًا في سجلاتك ، على سبيل المثال ، يمكن أن يتم مسح المنفذ دون إنشاء اتصال. Fail2ban عديم الفائدة هنا ، فهو يعمل فقط على إدخالات السجل. في المرحلة الأولى ، يمكن أيضًا مراقبة أنظمة الحماية المركبة. على سبيل المثال ، عدد محاولات التفويض قبل الحظر ، يتم تحديد وقت الحظر.
المرحلة 2 - محاولات الوصول إلى النظام من خلال اختراق SSH
يتم استخدام شبكات الروبوت التي تحتوي على آلاف العناوين للقرصنة ، ويذهب المسح في الحالة البسيطة لتجاوز الإعدادات الافتراضية لـ Fail2ban من مئات وآلاف العناوين ، مع فحص جاد يأخذ في الاعتبار إعدادات نظام حماية الضحايا. Fail2Ban غير مفيد هنا أيضًا ، خاصة إذا كان SSH على المنفذ 22 ويتم ترك إعدادات Fail2Ban بشكل افتراضي.
على المحيط الخارجي لأحد الخوادم ، يتم إغلاق جميع المنافذ ، ولكن في غضون يومين يحاول عدة آلاف من المضيفين إنشاء اتصال بالمنافذ القياسية. علاوة على ذلك ، يأخذ المسح في الاعتبار الحماية الممكنة ، وتذهب الحزم من عنوان واحد ، كقاعدة عامة ، مع فاصل زمني لعدة دقائق.
بالطبع ، يمكن أن يكون Fail2ban فعالاً في حماية بعض الخدمات الأخرى بإعدادات غير قياسية للمضيفين والخدمات.
لسبب ما ، يبدو دائمًا أن المرحلة الثانية هي الأكثر خطورة ، في الواقع ، المرحلة الأولى تبحث عن نقاط الضعف المحتملة على المضيف ، يمكن أن تكون أكثر خطورة من قوة Brute البسيطة SSH. لماذا كسر SSH عندما يكون هناك باب مفتوح مع ضعف قريب.
أما بالنسبة لتغيير المنفذ القياسي ، فهناك مراجعة
BestPractic أخيرة
حول أمان SSH ، حيث يتسبب تغيير المنفذ القياسي في 8 نقاط ، والتفويض الرئيسي هو العنصر الأول وتثبيت Fail2ban أو نظائرها 10 نقاط.
أفضل 20 خادم OpenSSH أفضل ممارسات الأمان .
يسمح لك تبديل منفذ SSH إلى غير قياسي باستخدام المنافذ القياسية كمصيدة لتتبع محاولات المسح ، وحظر عناوين IP المستلمة لفترة طويلة ولجميع المنافذ ، هذه 11 نقطة في مقالة BestPractic. بطبيعة الحال ، من الضروري تحديد عناوين بيضاء حتى لا تحصل على قفل عشوائي ، هذه 7 و 8 نقاط في مقالة BestPractic.
وبالتالي ، فإننا نزيد من تكلفة جمع المعلومات حول نظامنا. ستكلف المعلومات حول المنافذ المفتوحة عدة آلاف من عناوين IP أو الأشهر لمسح نظامنا. إذا كان منفذ SSH الخاص بي غير معروف للمهاجم المحتمل ، حتى إذا ظهرت ثغرة أمنية ، فلن يتمكن من استخدامه.