SELinux: Alte SSH-Portbezeichnung entfernen oder belassen?

SELinux: Alte SSH-Portbezeichnung entfernen oder belassen?

Ich folgedieser (grundlegende) Sicherheitsleitfadenum den SSH-Port meines Servers auf etwas anderes zu ändern.

Es sagt:

$ semanage port -a -t ssh_port_t -p tcp 2345 #Change me 

...dadurch würde über Port 2345 eine neue Bezeichnung hinzugefügt, um anzuzeigen, dass dieser für SSH relevant ist und dass der SSH-Prozess auf diesen Port zugreifen kann.

Was mich stört, ist, dass dadurch die Bezeichnung auf dem alten Port 22 NICHT entfernt wird.

Ist es sicherer, das alte Etikett an Ort und Stelle zu lassen, oder ist es sicherer, es zu entfernen?Ich weiß nicht, ob die Standardeinstellung für Ports in einem begrenzten oder unbegrenzten Raum liegt, und ich denke, das könnte eine Rolle spielen.

Bitte korrigieren Sie mich, wenn ich falsch liege, aber der Befehl zum Entfernen des alten Ports lautet:

# semanage port -d -p tcp 22

Antwort1

Es gibt keinen wichtigen Grund, die Porttypbezeichnung von Port 22 zu entfernen (und auch die Verlagerung Ihres SSH-Servers auf einen anderen Port erhöht Ihre Sicherheit nicht unbedingt). Wenn Sie die Bezeichnung entfernen, kann SSHD keine Verbindung zu Port 22 herstellen und auf Verbindungen warten.

verwandte Informationen