Это (в основном) не имеет значения.

Question 1

Это (в основном) не имеет значения.

Если вы просто хотите сократить количество попыток входа в системный журнал сервера, подойдет любой из подходов.

Конкретнее, вот два подхода:

Вы можете заставить маршрутизатор прослушивать, скажем, порт 220022 и настроить его на пересылку на порт 22 IP 192.168.1.200. Таким образом, вам не придется редактировать sshd_configна сервере.
Вы можете заставить маршрутизатор прослушивать, скажем, порт 220022 и настроить его на пересылку на порт 220022 IP 192.168.1.200. Таким образом, вам придется отредактировать сервер sshd_configтак, чтобы он не прослушивал порт по умолчанию 22, а прослушивал выбранный вами порт.

А как насчет локальных угроз?

Если вы беспокоитесь о том, что кто-то у вас дома взломает ваш сервер или кто-то в черном фургоне, припаркованном возле вашего дома, взломает вашу домашнюю сеть WiFi, а затем попытается взломать ваш сервер. Тогда простое изменение порта по умолчанию, вероятно, вас не спасет.

Другие меры

Как отметил Томас Уорд в комментариях, ограничение доступа по ssh только несколькими внешними IP-адресами является лучшей мерой безопасности. См.Ограничить доступ SSH к определенному IP-адресу для пользователякак это сделать.

Это работает, если у вас есть несколько удаленных мест (например, офис и квартира сестры), из которых можно войти. Другое дело, если вы много путешествуете и хотите войти из всего Интернета отеля.

VPN для решения «гостиничной» проблемы

Вам понадобится VPN-сервис, предоставляемый вашим работодателем или платный VPN потребительского уровня. Затем вы можете добавить IP-адрес VPN-сервера (или диапазон IP-адресов) в список разрешенных IP-адресов. Находясь в дороге (в отеле), сначала подключитесь к VPN, а затем к своему ssh-серверу.

Остановите грубую силу

Существуют различные инструменты для остановки повторных безуспешных попыток (грубой силы) взлома SSH, fail2banи sshguardоба они высоко ценятся.

Надеюсь это поможет

Answer

Это (в основном) не имеет значения.

Если вы просто хотите сократить количество попыток входа в системный журнал сервера, подойдет любой из подходов.

Конкретнее, вот два подхода:

Вы можете заставить маршрутизатор прослушивать, скажем, порт 220022 и настроить его на пересылку на порт 22 IP 192.168.1.200. Таким образом, вам не придется редактировать sshd_configна сервере.
Вы можете заставить маршрутизатор прослушивать, скажем, порт 220022 и настроить его на пересылку на порт 220022 IP 192.168.1.200. Таким образом, вам придется отредактировать сервер sshd_configтак, чтобы он не прослушивал порт по умолчанию 22, а прослушивал выбранный вами порт.

А как насчет локальных угроз?

Если вы беспокоитесь о том, что кто-то у вас дома взломает ваш сервер или кто-то в черном фургоне, припаркованном возле вашего дома, взломает вашу домашнюю сеть WiFi, а затем попытается взломать ваш сервер. Тогда простое изменение порта по умолчанию, вероятно, вас не спасет.

Другие меры

Как отметил Томас Уорд в комментариях, ограничение доступа по ssh только несколькими внешними IP-адресами является лучшей мерой безопасности. См.Ограничить доступ SSH к определенному IP-адресу для пользователякак это сделать.

Это работает, если у вас есть несколько удаленных мест (например, офис и квартира сестры), из которых можно войти. Другое дело, если вы много путешествуете и хотите войти из всего Интернета отеля.

VPN для решения «гостиничной» проблемы

Вам понадобится VPN-сервис, предоставляемый вашим работодателем или платный VPN потребительского уровня. Затем вы можете добавить IP-адрес VPN-сервера (или диапазон IP-адресов) в список разрешенных IP-адресов. Находясь в дороге (в отеле), сначала подключитесь к VPN, а затем к своему ssh-серверу.

Остановите грубую силу

Существуют различные инструменты для остановки повторных безуспешных попыток (грубой силы) взлома SSH, fail2banи sshguardоба они высоко ценятся.

Надеюсь это поможет

Question 2

Для повышения безопасности я хочу использовать порт, отличный от 22, чтобы снизить риск взлома моего сервера (поскольку скрипт-кидам придется угадывать номер порта).

Это так не работает. Злоумышленник, который не знает, как запустить, nmapне запустит ничего нового против вас. Они могут попытаться атаковать методом подбора, от которых вы можете тривиально защититься с помощью хороших паролей, ограничения скорости (например, fail2ban или sshguard) или просто запретить вход по паролю.

Так что не беспокойтесь. Любой нападающий, который представляет реальную угрозу, не будет обманут. Помните, чтовесь интернетрегулярно сканируются порты.

Answer

Для повышения безопасности я хочу использовать порт, отличный от 22, чтобы снизить риск взлома моего сервера (поскольку скрипт-кидам придется угадывать номер порта).

Это так не работает. Злоумышленник, который не знает, как запустить, nmapне запустит ничего нового против вас. Они могут попытаться атаковать методом подбора, от которых вы можете тривиально защититься с помощью хороших паролей, ограничения скорости (например, fail2ban или sshguard) или просто запретить вход по паролю.

Так что не беспокойтесь. Любой нападающий, который представляет реальную угрозу, не будет обманут. Помните, чтовесь интернетрегулярно сканируются порты.

Это (в основном) не имеет значения.

решение1

Это (в основном) не имеет значения.

А как насчет локальных угроз?

Другие меры

VPN для решения «гостиничной» проблемы

Остановите грубую силу

решение2

Связанный контент