А может быть они умеют грамотно настраивать фаервол и ssh-сервер, а ещё не юзают в качестве пароля от рута дату рождения? Так ли это важно, на каком порту ssh?
вебсервер в отличии от ssh не несет критической угрозы. и судя потому что 22 порт был доступен от провайдера, то грамотно настраивать файерволл они не умеют. нестандартный порт ssh исключает лишние угрозы, будь то брутофорс. безопасность лишней не бывает
веб-сервер, если на нём крутится какая-то пхпячка, как раз несёт критическую угрозу в виде самых разнообразных дырок. А ssh после настройки самой минимальной защиты от брутфорса (ну и при наличии нормальных паролей, конечно) перестаёт быть самым лёгким путём получения доступа к системе. Ну и /8
Запоминание паролей вы считаете нормальным, а порта ssh нет. Достаточной защитой от брутофорса будет указание нестандартного порта ssh. Также помоему были библиотеки (незнаю ко фре ли) которые запрещали доступ с адреса, с которого было много ошибочных аутентификаций. пересаживание на нестандартный порт дает много плюсов, при отсутствии минусов. И доступ к системе не должен быть легким или сложным. Он должен быть закрыт для тех, кому он не предназначен.
прости, но я не считаю что мне действительно нужно помнить на каком же порту висит sshd на тазике, на который я уже год не заходил. Пароль таки запомнить проще.
все верно. попробую описать ситуацию, как вижу ее я. Допустим вы идете по улице поздней ночью. Из за угла выходят 10 негров (о размерах их брутофорс агреггатов полагаю вы догадываетесь). И бравые афроамериканцы, к вашему сожалению, знают где находятся ваш рот и к примеру другие отверстия. И наличие джинс, к примеру, их не успокоит. Представим что с вас сняли джинсы, а то что они искали между ягодиц отсутствует(!). Это приведет их в недоумение, даст вам время для активных действий. Поэтому я считаю, что сажать sshd на нестандартный порт — хорошо и правильно.
хуита же, ну. вялые буртфорсеры, которые просто ищут куда бы можно залогиниться вполне фильтруются любой банилкой по неудачным попыткам за промежуток времени. Ну а тех кто знает чего хочет такая мелочь как sshd перевешеный на другой порт не остановит. Я не спорю что это немного понижает риск вторжения, но по-моему от этого больше неудобств чем толку.
аналогия, конечно, повеселила, но просканировать «нестандартные» порты вроде 2222 и сотни-другой рандомно не составляет ни малейшего труда. Кто захочет — тот найдёт ваш sshd и на нестандартном порту; так что лично я считаю подобные меры безопасности неоправданными.
PS: кстати, да: это именно то, что иронично называется security by obscurity.
28 comments
recommend
bookmark
subscribe
кекеке
ssh держат на стандартном порту? Зачем?
чтоб не ебаться с запоминанием порта и/или вписыванием его где только можно
глупо.
что здесь глупого?
веб-сервер на 80 порту и smtp на 25 тоже глупо держать?
А может быть они умеют грамотно настраивать фаервол и ssh-сервер, а ещё не юзают в качестве пароля от рута дату рождения? Так ли это важно, на каком порту ssh?
на фре логин рутом по ssh изкоробки запрещён
вебсервер в отличии от ssh не несет критической угрозы.
и судя потому что 22 порт был доступен от провайдера, то грамотно настраивать файерволл они не умеют. нестандартный порт ssh исключает лишние угрозы, будь то брутофорс. безопасность лишней не бывает
веб-сервер, если на нём крутится какая-то пхпячка, как раз несёт критическую угрозу в виде самых разнообразных дырок. А ssh после настройки самой минимальной защиты от брутфорса (ну и при наличии нормальных паролей, конечно) перестаёт быть самым лёгким путём получения доступа к системе. Ну и /8
Запоминание паролей вы считаете нормальным, а порта ssh нет. Достаточной защитой от брутофорса будет указание нестандартного порта ssh. Также помоему были библиотеки (незнаю ко фре ли) которые запрещали доступ с адреса, с которого было много ошибочных аутентификаций. пересаживание на нестандартный порт дает много плюсов, при отсутствии минусов.
И доступ к системе не должен быть легким или сложным. Он должен быть закрыт для тех, кому он не предназначен.
прости, но я не считаю что мне действительно нужно помнить на каком же порту висит sshd на тазике, на который я уже год не заходил. Пароль таки запомнить проще.
так безответственно относитесь к работе?:)
а зачем ходить на тазик, на котором всё работает и ничего не надо менять и который каждые сутки присылает письмо со своим статусом?
судя по вашей логике /etc/rc.d/sshd stop ?
нет, конечно. Ехать к тазику пешком если что-то стало вдруг не так или надо поменять как-то не очень.
все верно.
попробую описать ситуацию, как вижу ее я. Допустим вы идете по улице поздней ночью. Из за угла выходят 10 негров (о размерах их брутофорс агреггатов полагаю вы догадываетесь). И бравые афроамериканцы, к вашему сожалению, знают где находятся ваш рот и к примеру другие отверстия. И наличие джинс, к примеру, их не успокоит.
Представим что с вас сняли джинсы, а то что они искали между ягодиц отсутствует(!). Это приведет их в недоумение, даст вам время для активных действий.
Поэтому я считаю, что сажать sshd на нестандартный порт — хорошо и правильно.
хуита же, ну. вялые буртфорсеры, которые просто ищут куда бы можно залогиниться вполне фильтруются любой банилкой по неудачным попыткам за промежуток времени. Ну а тех кто знает чего хочет такая мелочь как sshd перевешеный на другой порт не остановит. Я не спорю что это немного понижает риск вторжения, но по-моему от этого больше неудобств чем толку.
Неудобство — запомнить порт? о времена, о нравы
не только запомнить, но и вводить его каждый раз или на всех системах откуда надо иметь доступ
а удобство в виде .ssh/config ?
я же написал "или"
в качестве безопасности, к примеру мне, вы бы посоветовали сажать sshd на нестандартный порт?
аналогия, конечно, повеселила, но просканировать «нестандартные» порты вроде 2222 и сотни-другой рандомно не составляет ни малейшего труда. Кто захочет — тот найдёт ваш sshd и на нестандартном порту; так что лично я считаю подобные меры безопасности неоправданными.
PS: кстати, да: это именно то, что иронично называется security by obscurity.
Ня
Глупо не понимать, что найти нестандартный порт, — дело 20-30 минут.
А с ботосетью так вообще можно секунд за 30 управится. В любом случае это 0.1% от задачи получения доступа к компьютеру
сам-то понял, что сказал? Этот твой нестандартный порт за 10 минут можно найти нмапом, а потом всё то же самое