(en su mayoría) no importa

Question 1

(en su mayoría) no importa

Si solo desea reducir la cantidad de intentos de inicio de sesión en el registro del sistema del servidor, cualquiera de los dos enfoques está bien.

Para ser específicos, aquí están los dos enfoques:

Puede hacer que el enrutador escuche el puerto 220022 y configurarlo para que lo reenvíe al puerto 22 de la IP 192.168.1.200. De esta manera no es necesario editarlo sshd_configen el servidor.
Puede hacer que el enrutador escuche el puerto 220022 y configurarlo para que lo reenvíe al puerto 220022 de la IP 192.168.1.200. De esta manera tienes que editar sshd_configen el servidor para que no escuche el puerto predeterminado 22 y escuche el puerto que seleccionaste.

¿Qué pasa con las amenazas locales?

Si le preocupa que alguien en su casa ingrese a su servidor o que alguien en una camioneta negra estacione afuera de su casa y luego ingrese a la red WiFi de su hogar, intente ingresar a su servidor. Entonces simplemente cambiar el puerto predeterminado probablemente no lo salvará.

Otras medidas

Como señaló Thomas Ward en los comentarios, restringir el acceso ssh a solo unas pocas direcciones IP externas es una mejor medida de seguridad. VerRestringir el acceso SSH a una IP específica para el usuariopara saber cómo hacerlo.

Esto funciona si tiene varias ubicaciones remotas (por ejemplo, la oficina y la casa de su hermana) desde las que iniciar sesión. Es diferente si viajas mucho y quieres conectarte a todo el Internet del hotel.

VPN para solucionar el problema del "hotel"

Necesitará un servicio VPN, ya sea proporcionado por su empleador o una VPN paga para el consumidor. Luego puede agregar la dirección IP del servidor VPN (o un rango de direcciones IP) a la lista de direcciones IP permitidas. Cuando esté de viaje (en un hotel), conéctese primero a la VPN y luego conéctese a su servidor ssh.

Detener la fuerza bruta

Existen varias herramientas para detener repetidos intentos fallidos (fuerza bruta) de ssh. fail2bany sshguardambos son muy apreciados.

Espero que esto ayude

Answer

(en su mayoría) no importa

Si solo desea reducir la cantidad de intentos de inicio de sesión en el registro del sistema del servidor, cualquiera de los dos enfoques está bien.

Para ser específicos, aquí están los dos enfoques:

Puede hacer que el enrutador escuche el puerto 220022 y configurarlo para que lo reenvíe al puerto 22 de la IP 192.168.1.200. De esta manera no es necesario editarlo sshd_configen el servidor.
Puede hacer que el enrutador escuche el puerto 220022 y configurarlo para que lo reenvíe al puerto 220022 de la IP 192.168.1.200. De esta manera tienes que editar sshd_configen el servidor para que no escuche el puerto predeterminado 22 y escuche el puerto que seleccionaste.

¿Qué pasa con las amenazas locales?

Si le preocupa que alguien en su casa ingrese a su servidor o que alguien en una camioneta negra estacione afuera de su casa y luego ingrese a la red WiFi de su hogar, intente ingresar a su servidor. Entonces simplemente cambiar el puerto predeterminado probablemente no lo salvará.

Otras medidas

Como señaló Thomas Ward en los comentarios, restringir el acceso ssh a solo unas pocas direcciones IP externas es una mejor medida de seguridad. VerRestringir el acceso SSH a una IP específica para el usuariopara saber cómo hacerlo.

Esto funciona si tiene varias ubicaciones remotas (por ejemplo, la oficina y la casa de su hermana) desde las que iniciar sesión. Es diferente si viajas mucho y quieres conectarte a todo el Internet del hotel.

VPN para solucionar el problema del "hotel"

Necesitará un servicio VPN, ya sea proporcionado por su empleador o una VPN paga para el consumidor. Luego puede agregar la dirección IP del servidor VPN (o un rango de direcciones IP) a la lista de direcciones IP permitidas. Cuando esté de viaje (en un hotel), conéctese primero a la VPN y luego conéctese a su servidor ssh.

Detener la fuerza bruta

Existen varias herramientas para detener repetidos intentos fallidos (fuerza bruta) de ssh. fail2bany sshguardambos son muy apreciados.

Espero que esto ayude

Question 2

Para aumentar la seguridad, quiero usar un puerto diferente al 22 para reducir el riesgo de una irrupción en mi servidor (ya que los script kids tienen que adivinar ese número de puerto).

No funciona así. Un atacante que no sabe correr nmapno lanzará nada novedoso contra ti. Pueden intentar ataques de fuerza bruta, contra los cuales usted puede defenderse trivialmente con buenas contraseñas, restricción de velocidad (por ejemplo, fail2ban o sshguard) o simplemente no permitir inicios de sesión con contraseña.

Así que no te molestes. Cualquier atacante que sea una amenaza real no se dejará engañar. Recuerde que eltodo internetSe escanean los puertos periódicamente.

Answer

Para aumentar la seguridad, quiero usar un puerto diferente al 22 para reducir el riesgo de una irrupción en mi servidor (ya que los script kids tienen que adivinar ese número de puerto).

No funciona así. Un atacante que no sabe correr nmapno lanzará nada novedoso contra ti. Pueden intentar ataques de fuerza bruta, contra los cuales usted puede defenderse trivialmente con buenas contraseñas, restricción de velocidad (por ejemplo, fail2ban o sshguard) o simplemente no permitir inicios de sesión con contraseña.

Así que no te molestes. Cualquier atacante que sea una amenaza real no se dejará engañar. Recuerde que eltodo internetSe escanean los puertos periódicamente.

(en su mayoría) no importa

Respuesta1

(en su mayoría) no importa

¿Qué pasa con las amenazas locales?

Otras medidas

VPN para solucionar el problema del "hotel"

Detener la fuerza bruta

Respuesta2

información relacionada