Nee hoor:
Carsten wrote:
Changing the port might work most of the time, but not if you have a server, where many people would like to log in, e.g. ssh gateway. Telling all those people how to use a different port in their favorite client is in pain (in certain mostly dark places).
Jeff Schroeder wrote:
Your idea of putting ssh on a different port is useless. Proof is right here:
nmap -sV -p 1-60000 yourhost
ncinerator wrote:
Changing the port for sshd doesn’t give you any real security benefit at all. Port scanning will easily reveal what ports your computer has left open and which not.
Programs like Bounce-O-Matic are much better at mitigating automated ssh login attacks by dynamically adjusting firewall rulesets to block off those computers performing the attack temporarily.
Oftewel: security by obscurity is niet echt een goede oplossing.
Het helpt misschien een klein beetje om geautomatiseerde aanvallen te verminderen, maar daar is ook alles mee gezegd,
Het is voornamelijk lastig als ssh op een andere poort draait.
Als je ssh op poort 22 draait, en fail2ban hebt geïnstalleerd, dan is dat veilig genoeg.
Iemand die meerdere keren foutief probeert in te loggen wordt gewoon keihard geblokkeerd.
Omdat die geautomatiseerde logins bijna altijd proberen om als root in te loggen, heb je zo 99% van die attacks te pakken
Je kan in de configuratie van fail2ban echt van alles instellen, dus je kan het zo veilig maken als je zelf wilt.
Je kan ook je interne netwerk in de uitzonderingen zetten, zodat als je een keer typefouten maakt je niet enkele minuten geblokkeerd wordt.
fail2ban kan je ook gebruiken om bijv. FTP en andere protocollen te beveiligen.