Isso (principalmente) não importa

Question 1

Isso (principalmente) não importa

Se você deseja apenas reduzir o número de tentativas de login no log do sistema do servidor, qualquer uma das abordagens é adequada.

Para ser mais específico, aqui estão as duas abordagens:

Você pode fazer com que o roteador ouça a porta 220022 e configure-o para encaminhá-lo para a porta 22 do IP 192.168.1.200. Dessa forma você não precisa editar o arquivo sshd_configno servidor.
Você pode fazer com que o roteador ouça a porta 220022 e configure-o para encaminhá-lo para a porta 220022 do IP 192.168.1.200. Desta forma você tem que editar o sshd_configno servidor para que ele não escute a porta padrão 22 e escute a porta que você selecionou.

E quanto às ameaças locais?

Se você está preocupado com alguém em sua casa invadindo seu servidor ou alguém em uma van preta estacionando fora de sua casa e invadindo sua rede WiFi doméstica, tente invadir seu servidor. Então, apenas alterar a porta padrão provavelmente não salvará você.

Outras medidas

Conforme apontado por Thomas Ward nos comentários, restringir o acesso ssh a apenas alguns endereços IP externos é uma medida de segurança melhor. VerRestringir o acesso SSH ao IP específico do usuáriopara saber como fazer isso.

Isso funciona se você tiver vários locais remotos (por exemplo, escritório e casa da irmã) para fazer login. É diferente se você viaja muito e deseja fazer login em toda a Internet do hotel.

VPN para resolver o problema do “hotel”

Você precisará de um serviço VPN, fornecido pelo seu empregador ou de uma VPN paga para o consumidor. Em seguida, você pode adicionar o endereço IP do servidor VPN (ou um intervalo de endereços IP) à lista de endereços IP permitidos. Quando estiver em trânsito (em um hotel), conecte-se primeiro à VPN e depois ao servidor ssh.

Pare a força bruta

Existem várias ferramentas para impedir repetidas tentativas malsucedidas (força bruta) de ssh. fail2bane sshguardambos são altamente considerados.

Espero que isto ajude

Answer

Isso (principalmente) não importa

Se você deseja apenas reduzir o número de tentativas de login no log do sistema do servidor, qualquer uma das abordagens é adequada.

Para ser mais específico, aqui estão as duas abordagens:

Você pode fazer com que o roteador ouça a porta 220022 e configure-o para encaminhá-lo para a porta 22 do IP 192.168.1.200. Dessa forma você não precisa editar o arquivo sshd_configno servidor.
Você pode fazer com que o roteador ouça a porta 220022 e configure-o para encaminhá-lo para a porta 220022 do IP 192.168.1.200. Desta forma você tem que editar o sshd_configno servidor para que ele não escute a porta padrão 22 e escute a porta que você selecionou.

E quanto às ameaças locais?

Se você está preocupado com alguém em sua casa invadindo seu servidor ou alguém em uma van preta estacionando fora de sua casa e invadindo sua rede WiFi doméstica, tente invadir seu servidor. Então, apenas alterar a porta padrão provavelmente não salvará você.

Outras medidas

Conforme apontado por Thomas Ward nos comentários, restringir o acesso ssh a apenas alguns endereços IP externos é uma medida de segurança melhor. VerRestringir o acesso SSH ao IP específico do usuáriopara saber como fazer isso.

Isso funciona se você tiver vários locais remotos (por exemplo, escritório e casa da irmã) para fazer login. É diferente se você viaja muito e deseja fazer login em toda a Internet do hotel.

VPN para resolver o problema do “hotel”

Você precisará de um serviço VPN, fornecido pelo seu empregador ou de uma VPN paga para o consumidor. Em seguida, você pode adicionar o endereço IP do servidor VPN (ou um intervalo de endereços IP) à lista de endereços IP permitidos. Quando estiver em trânsito (em um hotel), conecte-se primeiro à VPN e depois ao servidor ssh.

Pare a força bruta

Existem várias ferramentas para impedir repetidas tentativas malsucedidas (força bruta) de ssh. fail2bane sshguardambos são altamente considerados.

Espero que isto ajude

Question 2

Para aumentar a segurança, quero usar uma porta diferente da 22 para reduzir o risco de invasão no meu servidor (já que os script kids precisam adivinhar o número da porta).

Não funciona assim. Um invasor que não sabe correr nmapnão lançará nada de novo contra você. Eles podem tentar ataques de força bruta, contra os quais você pode se defender trivialmente com boas senhas, restrição de taxa (por exemplo, fail2ban ou sshguard) ou simplesmente proibir logins com senha.

Então não se preocupe. Qualquer invasor que seja uma ameaça real não será enganado. Lembre-se que oInternet inteiraé regularmente verificado nas portas.

Answer

Para aumentar a segurança, quero usar uma porta diferente da 22 para reduzir o risco de invasão no meu servidor (já que os script kids precisam adivinhar o número da porta).

Não funciona assim. Um invasor que não sabe correr nmapnão lançará nada de novo contra você. Eles podem tentar ataques de força bruta, contra os quais você pode se defender trivialmente com boas senhas, restrição de taxa (por exemplo, fail2ban ou sshguard) ou simplesmente proibir logins com senha.

Então não se preocupe. Qualquer invasor que seja uma ameaça real não será enganado. Lembre-se que oInternet inteiraé regularmente verificado nas portas.

Isso (principalmente) não importa

Responder1

Isso (principalmente) não importa

E quanto às ameaças locais?

Outras medidas

VPN para resolver o problema do “hotel”

Pare a força bruta

Responder2

informação relacionada