LINUX.ORG.RU
ФорумAdmin

Выбрать порт

 , ,


0

2

Хочется выставить голую жопу сервис в интернет. Допустим, это просто ssh. Вопрос в том, какой выбрать порт, чтобы дятлы меньше долбились:

  1. Можно выбрать порт из какого-нибудь незадействованного диапазона. Надежда на то, что дялты, которые сканируют только хорошо известные порты, этот порт не найдут. Но если особо упорный дятел просканирует все порты, то он и этот найдёт, и будет пытаться определить, какой сервис на этом порту висит.
  2. Можно выбрать левый порт из хорошо известных портов. Т.е. повесить ssh на 443 (https). Тогда надежда будет на то, что дятел увидит 443, будет пытаться долбить его как https и обломается.

Какие ещё есть варианты?

★★★★★

fail2ban с достаточно большим периодом блокировки (дефолтных 10 минут мало для нынешних дятлов, надо хотя бы час) — и пусть долбятся. Опционально добавлять обнаруженных дятлов в TARPIT.

alegz ★★★★
()

Допустим, это просто ssh … чтобы дятлы меньше долбились

Если SSH, то любой отличный от 22 и других общеизвестных сервисов, по которым долбятся всякие сканеры портов и просто студенты. Желательно - номер без нулей на конце. Это кардинально уменьшает число «дятлов» ))

vinvlad ★★
()

Ты прям всё делаешь не так.

Для ssh выставить publickey, для того что умеет только пароли — выставить задержку между попытками подольше. fail2ban’ом отсекать особо упорных.

 # pfctl -t blacklist_auto -T show | wc -l
     957
 # pfctl -t blacklist_managed -T show | wc -l
    1357
mord0d ★★★★★
()

Вопрос в том, какой выбрать порт, чтобы дятлы меньше долбились:

Дятлы все равно будут долбиться, ИМХО на то они и дятлы, надо смириться и успокоиться, выбрав для себя какой то вариант.

У меня SSH который работает с publickey + парольная фраза. Дятлам по фигу они даже не понимают, что пароли просто не работают, много лет я вообще ничего не делал, долбятся и долбятся мне не жалко.

Потом попал под воздейсвие секты «надо перевесить с 22….» перевесил на 42222, нашли и долбились ни сколько не меньше.

Но прогрес не стоит на месте потом стало кузяво использовать fail2ban, поставил его, тольку не добавилось просто стал задействовать еще и фаер, сктати часа мало там и 8 часов и суток будет маловата (чисто мое мнение) некоторые повторяют и через пару тройку суток ( этож не человек). Вот погляди скока их за решеткой томится ;-)

 fail2ban-client banned
[{'sshd': ['63.41.174.20', '134.209.237.254', '38.9.136.251', '187.50.178.142', '85.152.57.60', '64.135.37.202', '36.108.175.101', '118.70.126.155', '20.127.170.139', '65.20.141.59', '183.196.117.74', '94.131.211.168', '58.228.105.192', '192.72.6.151', '222.128.171.63', '103.188.232.10', '119.93.124.158', '43.130.26.150', '143.198.164.196', '122.175.34.207', '183.56.158.242', '165.227.166.247', '58.33.58.37', '150.139.200.68', '43.153.74.20', '164.92.80.209', '138.219.166.59', '43.134.23.25', '109.117.33.132', '43.159.51.222', '24.247.249.47', '176.65.63.90', '112.199.138.253', '182.75.197.174', '212.47.226.70', '124.222.59.221', '200.149.225.86', '95.57.207.165', '156.194.207.234', '58.22.132.50', '65.20.215.42', '177.215.136.46', '142.132.236.25', '115.23.23.91', '27.72.41.165', '69.243.138.199', '189.51.96.148', '45.129.14.79', '83.12.113.122', '35.222.242.33', '220.246.36.42', '76.169.36.73', '191.217.137.126', '36.156.145.28', '116.131.53.14', '122.226.186.251', '103.157.115.90', '186.215.107.189', '14.251.235.118', '51.75.142.157', '221.156.126.1', '103.121.19.171', '221.151.168.237', '37.255.240.75', '103.157.126.122', '103.99.111.118', '183.66.212.94', '168.194.38.248', '207.166.132.157', '5.29.135.63', '39.109.115.143', '179.63.55.181', '190.60.33.229', '105.73.203.175', '103.146.159.111', '43.227.66.89', '183.179.126.61', '124.106.227.230', '101.173.101.187', '222.223.187.146', '222.126.100.66', '185.47.48.74', '43.155.137.204', '221.213.201.190', '46.28.24.130', '113.31.114.208', '51.174.188.249', '41.175.210.83', '42.112.21.207', '185.243.181.158', '43.138.16.187', '159.65.149.50', '123.3.156.103', '123.138.101.106', '201.59.56.178', '187.107.127.37', '101.99.75.110', '103.125.161.93', '197.255.198.172', '36.103.241.107', '112.83.46.6', '103.115.254.86', '129.126.207.252', '223.240.84.189', '121.202.150.30', '84.15.236.89', '211.199.108.198', '185.11.61.234', '186.200.111.62', '85.209.11.226', '140.186.25.24', '117.107.135.197', '200.125.178.32', '122.96.63.50', '195.96.137.9', '196.12.146.210', '79.137.198.143', '51.250.15.147', '177.142.152.242', '94.204.118.63', '68.174.46.227', '213.55.85.202', '102.182.131.163', '122.4.70.58', '110.175.220.250', '186.179.100.229', '86.17.208.207', '201.172.109.153', '200.165.106.86', '36.89.114.129', '177.107.172.118', '111.70.14.63', '175.101.150.15', '158.220.92.164', '122.0.26.154', '70.173.248.15', '92.68.206.76', '111.70.29.157', '71.80.107.82', '73.2.234.236', '36.89.156.215', '197.237.243.107', '65.49.1.101', '153.36.242.38', '217.209.68.53', '80.51.121.72', '183.82.146.5', '175.198.108.244', '181.122.123.28', '202.165.16.209', '138.75.224.35', '31.132.6.154', '59.50.85.74', '123.51.229.128', '41.207.248.204', '210.19.112.202', '103.194.243.187', '78.189.209.162', '183.221.243.20', '102.213.205.113', '124.89.116.178', '162.223.91.6', '61.156.14.71', '94.206.49.146', '44.207.80.20', '60.241.154.156', '187.8.105.142', '45.115.115.158', '194.4.41.145', '103.175.8.200', '183.109.148.44', '36.105.172.57', '164.92.126.218', '218.29.61.124', '5.30.235.44', '14.143.150.66', '217.117.146.52']}]

те я попробовал все, и на мой взгляд ключ с парольной фразой было достаточно, за 23 года так ни один дятел и не проломился, ну правда я не знаю ккой ты сервис хочешь высунуть наружу.

alex_sim ★★★★
()

Какие ещё есть варианты?

Если у сервера и всех потенциальных клиентов есть ipv6, то можно только на ipv6 адресе порт открыть. Даже на 22 порту будет звенящая тишина.

Aster
()
Последнее исправление: Aster (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Для ssh у меня уже стоит fail2ban, и в логин по ключам. Я за ssh не беспокоюсь. Сейчас, кстати, посмотрел его лог и решил увеличить время бана на один день.

А другой порт, который надо выставить, на самом деле форвордится на виндовую машину (не мою), и тут традиционными способами остановить дятлов не особо получается. На виндовой машине вижу, что они нагло пытаюстся подобрать пароль, гады. Сейчас пока переназначил этот порт на редко используемый. Буду ждать через какое время и этот порт просканируют и определят, что на нём висит. А пока буду копать в сторону port knocking.

rupert ★★★★★
() автор топика
Ответ на: комментарий от Aster

На счёт ipv6 у меня смешанные чувства. По моему опыту, с ipv6 чаще возникают проблемы, и его проще вообще отрубить. Я вообще никогда не логинился по ssh через ipv6. Вот например, в чём здесь проблема (ipv6 адрес получен из выхлопа команды ip a).

$ ssh -6 abcd::1234:999f:22da:eefa -vvv
...
debug2: resolving "abcd::1234:999f:22da:eefa" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to abcd::1234:999f:22da:eefa [abcd::1234:999f:22da:eefa] port 22.
debug1: connect to address abcd::1234:999f:22da:eefa port 22: Invalid argument
rupert ★★★★★
() автор топика

Можно выбрать левый порт

И заодно пропатчить openssh на тему выпилить строку о версии которая выдается плэйном при подключении. Имхо будет ещё лучше. Да, открыт левый порт, но неизвестно кого и чем долбить. Но это так, пальцем небо отвечая только на ваш вопрос.
По делу, вам уже ответили в первых двух постах.

anc ★★★★★
()

Отличные советы в плане защиты сервиса, но ТС спрашивал

Вопрос в том, какой выбрать порт, чтобы дятлы меньше долбились

В этом случае гораздо больше пользы принесет ограничение по стране запроса. Отрезать тот же китай если не работаете с ним

pavel_l
()
Ответ на: комментарий от smilessss

Тут как-бы три варианта:

  1. любой порт в диапазоне 1024-65535
  2. порт в эфемерном диапазоне 49152-65535
  3. порт, у которого нет официального предназначения (например, по этому списку: https://ipinfo.info/html/tcp-ip-ports.php)
rupert ★★★★★
() автор топика