А на какой порт вешать SSH, чтобы сканеры до него недосканировали?

Перевешивание на другой порт, на самом деле, позволит на неопределенное время избавиться от мусора в логах. Время это может варьироваться от секунд до бесконечности, в зависимости от степени заинтересованности твоим хостом.

Удваиваю. Всегда сразу перевешиваю на какой-нить хх22 — логи чистые.

42 же
в крайнем случае 53

Выше 65536-го

но при этом 1. проверить, что пароль - хороший, проще, чем ключ

4.2

Для этого есть ssh-vulnkey

Прозреваю что написано у тебя между строк: «да, о великий zolden, я брякнул не подумав, что „ничего не добавляет“, но признаться в этом слишком унизительно, поэтому лучше поверчусь как уж на сковородке, придумывая отговорки»

Ванга в треде, все в волшебный шар!

Можно засчитывать слив, или еще есть что сказать по теме?

Интересно кстати мнение настоящих специалистов о port-knocking

А вот и настоящие специалисты в роли разработчика PuTTY подтянулись, поприветствуем их!

А ты точно уверен что он тот, за кого ты его выдаешь? Потому-что после фраз типа «it doesn't buy you a great deal of security» и «it seems like a lot of effort for very little gain» создается впечатление, что «специалист» по port-knocking'у слабо себе представляет, для чего этот самый port-knocking может использоваться.

Да будет ему известно, что это в первую очередь способ СКРЫТЬ факт наличия сервиса на хосте И ПРИ ЭТОМ дать возможность использовать этот сервис тем, кто знает как правильно «постучать».

it's not universally usable, because many firewalls won't let the knocks through. (Obviously the firewall at the server end is precisely what will need to be specifically listening out for the knock, but firewalls at the client end or in between are likely to cause a lot more trouble

А вот это предложение ты совершенно зря выдрал из конекста, потому-что речь шла о реализации port-knocking'а в PuTTY. Ничто не мешает использовать необходимую (в том числе свою) реализацию сабжа, которая отлично работает в твоей среде.

And in particular, if you're connecting through an SSH tunnel, you'll have a hard time sending a knock.
you'll have a hard time sending a knock

Да, а жизнь вообще сложная штука. Особенно для «специалистов» по порт кнокингу.

Also, since the knock is effectively sent in cleartext, it doesn't buy you a great deal of security

«Специалист» по порт кнокингу не в курсе, что отправка нескольких пакетов на определенные порты это далеко не единственный способ «постучаться» на сервер?

Перевешивание на другой порт, на самом деле, позволит на неопределенное время избавиться от мусора в логах.

Перевешивание на другой порт
мусор в логах

You're doing it wrong.

Шанс потери пароля, ключа etc всегда есть. И при правильном подхоже ключ потерять не намного проще.

Для этого есть ssh-vulnkey

это не панацея, слабый пароль в любом проще и надежнее идентифицировать. ну и кстати он кроме как в debian и производных где-нибудь есть?

Естественно. Я ведь не перечислял общеизвестного списка пунктов, позволяющих решить проблему правильно.

ну и кстати он кроме как в debian и производных где-нибудь есть?

Нет конечно, это чисто проблема Дебьяна.

это не панацея, слабый пароль в любом проще и надежнее идентифицировать

WTF? Авторизация по ключу уже как бэ намекает, что ловить тут нечего. А вот что такое «слабый пароль в любом проще и надежнее идентифицировать» я совсем не понимаю. Если человек юзает пароль, «that rocks» это лично его проблема, и ему уже наверное ничего не поможет.

Нет конечно, это чисто проблема Дебьяна.

существование слабых/скомпрометированных ключей - проблема исключительно Дебьяна? чудеса да и только.

Если человек юзает пароль, «that rocks» это лично его проблема, и ему уже наверное ничего не поможет.

конечно не поможет, но если генератор случайных чисел выдал 1024 раза подряд «4», то ключ будет слабым, и ты об этом никогда не узнаешь (пока Эдвард не расскажет тебе, что генератор случайных чисел надо бы проверить).

существование слабых/скомпрометированных ключей - проблема исключительно Дебьяна? чудеса да и только.

Чувак, это настолько старая проблема, тем более пофикшеная, что не стоит даже вспоминать про неё. Иначе можно вспомнить, как почтовик позволял выполнить любую команду на сервере через письмо, или как mysql соглашался с паролем, который ты ему давал.

конечно не поможет, но если генератор случайных чисел выдал 1024 раза подряд «4», то ключ будет слабым, и ты об этом никогда не узнаешь (пока Эдвард не расскажет тебе, что генератор случайных чисел надо бы проверить).

Ну используй ключ 2048, предварительно сгенерив его в какой-нибудь старой системе, когда NSA еще не встраивали свои закладки. В любом случае пароль guessable.

это не панацея, слабый пароль в любом проще и надежнее идентифицировать

Каким образом ты идентифицируешь слабый пароль? Можно ли сделать то же самое, но для маленького кусочка закрытого ключа?

Во-первых - вход только по ключам, остальное - полумеры.

Безопаснее всего - port knocking.

Потом - sslh http://www.rutschle.net/tech/sslh.shtml

Потом - нестандартный порт, выше 1024 пофиг какой.

Потом - нестандартный порт, выше 1024 пофиг какой.

Это заговор какой-то? Почему именно так, а не наоборот?

Потому что nmap по-умолчанию сканирует только наиболее популярные порты, в основном среди первых 1024.

А вообще да, исправляюсь: порты выше 1024, не используемые каким-либо известным сервисом. Ну и очевидные вроде 222, 2222, 22222, 1222 не стоит пожалуй.

Современные сканеры найдут на любом порту. Почитай хакер чтоли на досуге. Там как раз пишут про сканы всей ipv4 менее чем за сутки.

Как уже говорили — fail2ban. Дополнительно iptables --recent. И то, чего не говорили: iptables --geoip

42531 какой-нибудь.

man knockd

fail2ban тебе в помощь

Passphrase на ключик. Да и заменить ключ не проблема.

Да какой смысл в ключике, если пароль «сверхоленеводныеплаксидромы8172»?

Да какой смысл в ключике, если пароль «сверхоленеводныеплаксидромы8172»?

А как ты определил, что ключик менее устойчив чем твой пароль?

Как вариант для параноика - банить каждый адрес с неправильным логином

На таких адовых паролях уже пофиг на сколько тысяч лет разница... Времени перебора.

Да какой смысл в ключике, если пароль «сверхоленеводныеплаксидромы8172»?

Да хотя бы такой:

$ echo -n сверхоленеводныеплаксидромы8172 | wc -c
58
$ echo -n сверхоленеводныеплаксидромы8172 | sed -e 's/\(.\)/\1\n/g' | sort | uniq | wc -l
19

$ cat ~/.ssh/pc.rsa | wc -c
1679
$ cat ~/.ssh/pc.rsa | sed -e 's/\(.\)/\1\n/g' | sort | uniq | wc -l
67