为什么要更改默认的ssh端口? [关闭]

Modified on: Thu, 14 Nov 2019 02:00:02 +0800

我注意到很多管理员都更改了默认的ssh端口。

有没有合理的理由这样做?

最佳答案

它没有一些人声称的那么有用,但它至少会减少对日志文件的影响,因为许多暴力登录尝试只使用默认端口而不是扫描以查看SSH是否在其他地方监听。有些攻击会扫描其他地方的SSH,所以它不是银弹。

如果您的服务器将成为某种类型的共享主机,而不仅仅是满足您项目的需求,那么使用非默认端口可能会很麻烦,因为您必须一遍又一遍地向用户解释它当他们忘记并且他们的客户端程序无法连接到端口22时,一遍又一遍!

非标准端口上SSH的另一个可能问题是,如果遇到具有限制性外出过滤器集的客户端,无法连接到自定义端口,因为其过滤器仅允许(例如,端口22), 53,80和443成为新的外出连接的目的地。这种情况并不常见,但肯定不是闻所未闻。在类似的问题上,一些ISP可能会看到端口上的加密流量而不是通常预期的端口(端口443或HTTPS,22用于SSH,等等),以试图隐藏P2P连接并限制(或阻止)连接方式不方便。

为方便起见,我个人在标准端口上保留SSH。只要采取通常的预防措施(强密码/密钥策略,限制root登录,......)就不用担心了,当你遭遇暴力攻击时日志文件增长问题可以通过使用这样的工具来缓解作为fial2ban临时阻止在给定时间段内提供太多不良身份验证凭据的主机。

无论你选择什么端口,如果你离开22,请确保它低于1024.在默认配置中的大多数类Unix设置下,只有root(或根组中的用户)可以侦听端口低于1024,但任何用户都可以监听更高端口。在较高端口上运行SSH会增加流氓(或被黑客入侵)用户管理SSH守护程序崩溃的可能性,并将其替换为自己的代理或代理。


相关问答

添加新评论