%20egal.png)
Ich möchte über SSH über das Internet auf meinen Ubuntu-Server zugreifen und den öffentlichen Schlüssel des Clients auf diesem Server speichern.
Um die Sicherheit zu erhöhen, möchte ich einen anderen Port als 22 verwenden, um das Risiko eines Einbruchs in meinen Server zu verringern (da Script-Kids diese Portnummer erraten müssen).
Ist es besser, die Portweiterleitung im Router (wie unten dargestellt) oder auf dem Server (wie inhttps://askubuntu.com/a/264048)?
Antwort1
Es ist (meistens) egal
Wenn Sie lediglich die Anzahl der Anmeldeversuche im Systemprotokoll des Servers reduzieren möchten, ist jeder Ansatz in Ordnung.
Um genau zu sein, hier sind die beiden Ansätze:
- Sie können den Router beispielsweise auf Port 220022 lauschen lassen und ihn so einstellen, dass er an Port 22 der IP 192.168.1.200 weiterleitet. Auf diese Weise müssen Sie
sshd_configden Server nicht bearbeiten. - Sie können den Router beispielsweise auf Port 220022 abhören lassen und ihn so einstellen, dass er an Port 220022 der IP 192.168.1.200 weiterleitet. Dazu müssen Sie
sshd_configden Server so bearbeiten, dass er nicht auf den Standardport 22, sondern auf den von Ihnen ausgewählten Port abhört.
Was ist mit lokalen Bedrohungen?
Wenn Sie befürchten, dass jemand bei Ihnen zu Hause in Ihren Server einbricht oder dass jemand in einem schwarzen Lieferwagen vor Ihrem Haus parkt und dann in Ihr WLAN-Heimnetzwerk eindringt und dann versucht, in Ihren Server einzudringen, wird Sie das bloße Ändern des Standardports wahrscheinlich nicht retten.
Weitere Maßnahmen
Wie Thomas Ward in den Kommentaren anmerkt, ist die Beschränkung des SSH-Zugriffs auf nur wenige externe IP-Adressen eine bessere Sicherheitsmaßnahme. SieheBeschränken Sie den SSH-Zugriff auf eine bestimmte IP für den Benutzerwie das geht.
Dies funktioniert, wenn Sie sich von mehreren entfernten Standorten aus anmelden können (z. B. vom Büro oder von der Wohnung Ihrer Schwester). Anders sieht es aus, wenn Sie viel reisen und sich von allen Internet-Zugängen des Hotels aus anmelden möchten.
VPN zur Lösung des "Hotel"-Problems
Sie benötigen einen VPN-Dienst, der entweder von Ihrem Arbeitgeber bereitgestellt wird oder ein kostenpflichtiges VPN für Privatkunden ist. Anschließend können Sie die IP-Adresse des VPN-Servers (oder einen IP-Adressbereich) zur Liste der zulässigen IP-Adressen hinzufügen. Wenn Sie unterwegs sind (z. B. in einem Hotel), stellen Sie zuerst eine Verbindung zum VPN her und dann zu Ihrem SSH-Server.
Stoppen Sie die rohe Gewalt
Um wiederholte erfolglose Versuche (Brute-Force) zum Herstellen einer SSH-Verbindung zu verhindern, stehen verschiedene Tools zur Verfügung. fail2banBeide sshguardgenießen hohes Ansehen.
Hoffe das hilft
Antwort2
Um die Sicherheit zu erhöhen, möchte ich einen anderen Port als 22 verwenden, um das Risiko eines Einbruchs in meinen Server zu verringern (da Script-Kids diese Portnummer erraten müssen).
So funktioniert das nicht. Ein Angreifer, der nicht weiß, wie man loslegt, wird nmapnichts Neues gegen Sie unternehmen. Er könnte Brute-Force-Angriffe versuchen, gegen die Sie sich mit guten Passwörtern, Ratenbeschränkungen (z. B. fail2ban oder sshguard) oder einfach dem Verbot von Passwortanmeldungen problemlos verteidigen können.
Also machen Sie sich keine Sorgen. Jeder Angreifer, der eine echte Bedrohung darstellt, lässt sich nicht täuschen. Denken Sie daran, dass diedas gesamte Internetwird regelmäßig einem Portscan unterzogen.