Saya menemukan sebuah
diskusi tiga bulan lalu tentang perlunya port port SSH. Banyak peserta diskusi yakin bahwa tidak perlu mentransfer port ke port non-standar.
Cukup beralih ke otorisasi utama dan menginstal Fail2ban, dan ini sudah menjadi jaminan keamanan. Sayangnya, kita hidup di dunia nyata dan yang terus berubah dan langkah-langkah keamanan yang diusulkan tidak lagi selalu cukup.
Mari kita lihat - otorisasi kunci meninggalkan dua kunci ssh yang relatif aman - RSA-4096 dan ED25519, kunci DSA tidak lagi termasuk dalam versi terbaru OpenSSH. Dalam hal ini, seseorang harus mempertimbangkan kehadiran di Internet dari beberapa keraguan tentang keandalan ED25519, Google untuk membantu, jika ada yang tertarik.
Selain tombol, frasa sandi yang agak panjang disarankan untuk kunci Anda dari karakter acak dalam berbagai kasus dan angka, setidaknya.
Serangan brutal - mari kita lihat secara singkat apa yang terjadi jika tuan rumah Anda diserang dengan sengaja.
Tahap 1 - pengumpulan informasi host, termasuk port terbuka
Kumpulan informasi ini jauh dari selalu tercermin dalam log Anda, misalnya, pemindaian port dapat berjalan tanpa membuat koneksi. Fail2ban tidak berguna di sini, hanya berfungsi pada entri log. Pada tahap pertama, sistem perlindungan yang dipasang juga dapat dimonitor. Misalnya, jumlah upaya otorisasi sebelum pemblokiran, waktu pemblokiran ditentukan.
Tahap 2 - upaya untuk mengakses sistem melalui peretasan SSH
Botnet dengan ribuan alamat digunakan untuk peretasan, dan pemindaian dalam kasus sederhana digunakan untuk mem-bypass pengaturan default Fail2ban dari ratusan dan ribuan alamat, dengan pemindaian serius dengan mempertimbangkan pengaturan sistem perlindungan korban. Fail2Ban juga tidak berguna di sini, terutama jika SSH pada port 22 dan pengaturan Fail2Ban dibiarkan secara default.
Pada perimeter eksternal saya dari salah satu server, semua port ditutup, tetapi dalam beberapa hari hingga beberapa ribu host mencoba untuk membuat koneksi ke port standar. Selain itu, pemindaian memperhitungkan kemungkinan perlindungan, paket dari satu alamat, sebagai aturan, dengan interval beberapa menit.
Tentu saja, Fail2ban dapat efektif untuk melindungi beberapa layanan lain dengan pengaturan non-standar untuk host dan layanan Anda.
Untuk beberapa alasan, selalu tampak bahwa tahap kedua adalah yang paling berbahaya, pada kenyataannya, tahap pertama mencari kemungkinan kerentanan pada host, mereka bisa jauh lebih berbahaya daripada SSH Brute force sederhana. Mengapa merusak SSH ketika ada pintu terbuka dengan kerentanan di dekatnya.
Adapun untuk mengubah port standar, ada review
BestPractic terbaru
tentang keamanan SSH , di mana mengubah port standar biaya 8 poin, otorisasi utama adalah item pertama dan menginstal Fail2ban atau analog 10 poin.
20 Praktik Keamanan Terbaik OpenSSH Server .
Mengalihkan port SSH ke non-standar memungkinkan Anda menggunakan port standar sebagai perangkap untuk melacak upaya pemindaian, dan memblokir alamat IP yang diterima untuk waktu yang lama dan untuk semua port, ini adalah 11 poin dalam artikel BestPractic. Secara alami, perlu untuk menentukan alamat putih agar tidak mendapatkan kunci acak, ini adalah 7 dan 8 poin dalam artikel BestPractic.
Dengan demikian, kami meningkatkan biaya pengumpulan informasi tentang sistem kami. Informasi tentang port terbuka akan dikenakan biaya beberapa ribu alamat IP atau bulan untuk memindai sistem kami. Jika port SSH saya tidak diketahui oleh penyerang potensial, bahkan jika kerentanan muncul, ia tidak akan dapat menggunakannya.