我想透過 SSH 從網路存取我的 Ubuntu 伺服器,並將客戶端的公鑰儲存在該伺服器上。
為了提高安全性,我想使用 22 以外的連接埠來降低入侵我的伺服器的風險(因為腳本孩子必須猜測該連接埠號碼)。
是在路由器中定義連接埠轉送(如下所示)更好還是在伺服器上定義連接埠轉送(如中所述)https://askubuntu.com/a/264048)?
答案1
(大部分)沒關係
如果您只是想減少伺服器系統日誌中的登入嘗試次數,則任何一種方法都可以。
具體來說,有兩種方法:
- 您可以讓路由器偵聽連接埠 220022 並將其設定為將其轉送至 IP 192.168.1.200 的連接埠 22。這樣您就不必
sshd_config在伺服器中編輯。 - 您可以讓路由器偵聽連接埠 220022 並將其設定為將其轉送至 IP 192.168.1.200 的連接埠 220022。這樣你就必須編輯
sshd_config伺服器中的 ,使其不監聽預設連接埠 22 並監聽你選擇的連接埠。
本地威脅又如何呢?
如果您擔心家裡有人侵入您的伺服器,或者擔心您家外面停著一輛黑色麵包車的人侵入您的家庭 WiFi 網絡,請嘗試侵入您的伺服器。那麼僅僅更改預設連接埠可能無法拯救您。
其他措施
正如 Thomas Ward 在評論中指出的,將 ssh 存取限制為少數外部 IP 位址是更好的安全措施。看限制用戶對特定 IP 的 SSH 訪問如何做到這一點。
如果您有幾個遠端位置(例如辦公室和姐姐的地方)可供登錄,則此方法有效。如果您經常旅行並且想要從所有酒店的互聯網登錄,情況就不同了。
VPN解決「飯店」問題
您將需要 VPN 服務,可以由您的雇主提供,也可以是消費級付費 VPN。然後,您可以將 VPN 伺服器的 IP 位址(或 IP 位址範圍)新增至允許的 IP 位址清單中。在路上(在飯店)時,首先連接到 VPN,然後連接到您的 ssh 伺服器。
停止暴力
有多種工具可以阻止重複的不成功的 ssh 嘗試(暴力)。fail2ban並且sshguard都受到高度重視。
希望這可以幫助
答案2
為了提高安全性,我想使用 22 以外的連接埠來降低入侵我的伺服器的風險(因為腳本孩子必須猜測該連接埠號碼)。
它不是那樣工作的。不知道如何逃跑的攻擊者nmap不會對你發動任何新奇的攻擊。他們可能會嘗試暴力攻擊,您可以透過良好的密碼、速率限制(例如,fail2ban 或 sshguard)或簡單地禁止密碼登入來輕鬆防禦。
所以不用打擾。任何真正構成威脅的攻擊者都不會被愚弄。請記住,整個網路定期進行連接埠掃描。