我应该将 SSH 端口更改为 < 1024 吗？

Question

许多服务器配置指南建议将 SSH 端口更改为大于 1024 的值，以保持模糊和避免冲突。

这很有趣，因为它建议使用小于 1024 的端口，因为它具有特权：

http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics

对这种做法有什么想法吗？

Answer 1

好吧，您可以将端口从 22 更改为不同的内容，是的。但这并不是端口扫描最终不会显示的内容。

如果您担心安全性和 SSH，请完全禁用仅密码身份验证。还要打开监视器日志扫描程序，例如fail2ban，配置为禁止在您的站点上运行扫描的恶意主机。

如果您更关心安全性，那么更改端口是有意义的一件事：将其更改为不常见的内容并实现端口敲门！

仅仅改变端口并没有太大的作用，改变带有主动端口敲击的端口是完全不同的事情！

Answer 2

你有不同的选择。每个都有缺点。那么你更喜欢哪个缺点呢？

• 使用端口 22：您将从机器人扫描以获取简单密码中获得大量日志条目。您可以通过仅使用公钥身份验证来防止受到损害。但是日志条目仍然存在。
• 其他一些小于 1024 的端口：它可能已被正式保留给其他一些协议，如果您使用该协议，可能会导致冲突。可能有机器人在扫描该其他服务，因此您仍然会偶尔看到奇怪的日志条目。
• 使用端口号 1024 或更多：本地用户可以通过侦听该端口来引发 DoS 攻击。他们必须在sshd关闭时开始收听，因此sshd在重新启动时有一个机会之窗。

如果您以其他方式保持sshd安全，您似乎可以在远程主机淹没日志或本地用户的 DoS 可能性之间做出选择。日志条目可以通过某种自动阻止来缓解，不幸的是，这会让您面临潜在的不同类型的 DoS 攻击。