А на какой порт вешать SSH, чтобы сканеры до него недосканировали?

про пинание портов уже слышал?

поставь нормальный пароль. пускай хоть засканируются.

Вообще выключить его, и испоьзовать только public key :)

Нет.

Вообще выключить его, и испоьзовать только public key :)

советчики такие советчики.

Попрут у меня флешку с ключом и всё.

тогда в гугл, или хотя бы в википедию http://en.wikipedia.org/wiki/Port_knocking

Лично я просто добавляю перед 22 пару единиц Но это только для того, чтобы auth.log не засорялся. А для безопасности лучше ключи использовать, а не пароли.

Совершенно необязательно его держать только на флешке.

а нафига его всё время держать открытым?

дело не во флешке с ключом, а в том что сбрутфорсить хороший пароль и хороший ключ в современных реалиях - почти одно и то же,

но при этом 1. проверить, что пароль - хороший, проще, чем ключ 2. от неизвестных уязвимостей в ssh хороший ключ и пароль могут не спасти.

сбрутфорсить хороший пароль и хороший ключ в современных реалиях - почти одно и то же

А вот это интересно. Какие-то пруфы есть?

Не понял посыл про ключ. Спасибо за порт нокинг, крутая штука.

Сканируют до 1024 порта как правило. И как уже советовали - используй ключи и отключи пароли.

Повыше просто поставь. Добавь пользователя и запрети руту логин.

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности. Надо использовать ключи, порт-нокинг и fail2ban.

На любой, если справишься с fail2ban

1. Повесь туда ханипот

2. Ожидай

3. ???

4. PROFIT^Whttp://iwatchedyourhack.org/node/8

пруфы чего? того что 10^2 лет и 10^15 лет брутфорса на практике - одно и то же?

А, в этом смысле. Подумал, что имеется ввиду легкость взлома обоих. Тогда извините.

80й порт спасёт отца русской демократии

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности

100 попыток подбора в день до перевешивания и 0 после.
А теперь послушаем твои аргументы:

Не надо перевешивать ssh-порт. Ибо это ничего не добавляет к безопасности

100 попыток подбора в день до перевешивания и 0 после.

man security through obscurity

Ты не спрятал «дверь» (напр. при помощи port knocking), ты просто перенес её в другое место.

отключи пароли, юзай ключи, забей болт на порт.
ИЛИ
стучи по портам.

Ключи потеряю, HDD попрут и всё писец.

65535, точно не доберутся, инфа 100%

Ключи потеряю, HDD попрут и всё писец.

facepalm.

Эти пафосные термины слишком абстрактны.
Давай сначала. Отвечай да или нет, без увиливаний.
Попытки подбора - это угроза безопасности?
Да или нет?
Отсутствие попыток подбора после принятия неких мер - уменьшение угрозы безопасности?
Да или нет?
Множество попыток атак состоит из подмножества попыток когда бот сканирует только стандартный порт и подмножества когда бот сканирует все порты, опираясь на fingerprint
Переносом порта мы обезопасим себя от всех ботов 1й категории?
Да или нет?
Значит ли это что перенос порта «ничего не добавляет к безопасности»?
Да или нет?

fail2ban как вариант

поставь нормальный пароль. пускай хоть засканируются.

Это трафик и нагрузка на систему. От одного - маленькая. Если десяток, уже заметно. А может и больше прийти.

Короче, как безопаснее всего ssh наружу вывешивать, дайте мудрые советы в этом деле?

iptables --recent

На локальный %)

Значит ли это что перенос порта «ничего не добавляет к безопасности» ?
Да или нет ?

Дёргание, которое имеет мало смысла, и осложняет жизнь тебе же.

Дёргание, которое имеет мало смысла, и осложняет жизнь тебе же

«Мало» это больше чем «ничего»
Радует что ты это понимаешь, в отличие от

-p xxx осень осложняет, да

ну так приватный ключ же тоже может быть защищен ключом

Если что-то придётся таскать в голове, нафига тогда таскать ту часть, которая не в голове? Как выше сказали, на практике перебор пароля и перебор ключа не отличаются. Что пиццот миллиардов килолет, что девяццот - один куй.

У меня пароли нехилые, типа «сверхслюнявыеоленеводы1321» латиницей.

попробуй хотя бы ssh-keygen сделай, убедишься в своей неправоте

Бэкапы для трусов что ли?

А так можно сказать, что тебя завтра кирпичом по голове стукнут и ты забудешь ключ.

Как я убедюсь?

Никуя не понял )

1. fail2ban
2. рута запретить
3. порт повыше - минимум 1025 (так отсеиваются все школоло-подбиратели)
4. ключи вместо пасов

«Мало» это больше чем «ничего»

Но зачем, если fail2ban или --recent дают эффект в любом случае ? Подумаешь - несколько попыток случится...

-p xxx осень осложняет, да

Во-первых да, во-вторых этот xxx ещё помнить надо. :-)

на 22 поставь ханипот, а ssh на какой-нибудь 222. Пусть хоть оббрутятся.

Эти пафосные термины слишком абстрактны.

При этом он прекрасно справляется со своей задачей, описывая предложенный тобой способ обеспечения безопасности.

Давай сначала. Отвечай да или нет, без увиливаний.

http://i.imgur.com/sMGwMxl.jpg

Проблема в том, что ты пытаешься измерить безопасность в количестве попыток подбора.

Вопрос на засыпку: что опаснее, бесчисленные коннекты на стандартный порт или 1 на нестандартный?

Я не собираюсь тебя ни в чём переубеждать, если тебя устраивает твой вариант, то пожалуйста, используй.

если fail2ban

Это тоже не панацея кстати. ЕМНИП, не так давно брутили пароли для гитхаба с 40к уникальных адресов.

Прозреваю что написано у тебя между строк: «да, о великий zolden, я брякнул не подумав, что „ничего не добавляет“, но признаться в этом слишком унизительно, поэтому лучше поверчусь как уж на сковородке, придумывая отговорки»

Интересно кстати мнение настоящих специалистов о port-knocking
it's not universally usable, because many firewalls won't let the knocks through. (Obviously the firewall at the server end is precisely what will need to be specifically listening out for the knock, but firewalls at the client end or in between are likely to cause a lot more trouble. And in particular, if you're connecting through an SSH tunnel, you'll have a hard time sending a knock.) Also, since the knock is effectively sent in cleartext, it doesn't buy you a great deal of security - the only real gain is that your service appears to be a closed port to anyone doing a port scan, and although that might have advantages it might also cause administrators to become more relaxed about the real security of their service. It seems like a lot of effort for very little gain.

не так давно брутили пароли для гитхаба

От целенаправленной атаки ssh прятать вообще бесполезно. Разве что VPN-ом каким только. В смысле, OpenVPN-сервер сделать, а по ssh ходить уже на внутренний vpn-овский адрес.