OffTopic? protecting ssh

Fri Dec 2 08:36:59 EET 2011

2011/12/1 Nick Demou <ndemou at gmail.com>:
> το εντυπωσιακό είναι ότι αν δεν αλλάξεις το port και δεν κάνεις block
> το traffic με κάτι σαν το fail2ban (επειδή π.χ. ssh access έχει μόνο ο
> χρήστης fsjhafkhwfh με password
> qqq at klsj$sgalf%jwmnq at f23!rjr-4xh((32yo32nhr) αφιερώνεις ένα καθόλου
> ασήμαντο bandwidth  σε script kiddies!

Ακριβώς, το νόημα του να αλλάξεις το port, ή να υλοποιήσεις port knocking
ή/και να μπλοκάρεις δυναμικά το bruteforcing (π.χ., με fail2ban) *δεν* είναι
το να αποφύγεις να μαντέψει κάποιος το σωστό username/password, αλλά
να γλιτώσεις bandwith, να αποφύγεις τυχόν DDoS στο ssh (όχι ηθελημένο
αλλά απλά πολλοί μπορεί να προσπαθούν να σου κάνουν brute force
ταυτόχρονα) και το πιο σημαντικό, να αποφύγεις το "θόρυβο" στα logs.

Ο στόχος δηλαδή δεν είναι επιπλέον ασφάλεια αλλά εξοικονόμηση πόρων.