web-dev-qa-db-ja.com

特権ポートを使用したSSHのベストプラクティス

Centos 7.7でcPanelを使用していますが、ドキュメントのこのメモについて少し混乱しています。

別のサービスが現在使用していない特権ポート1〜1023を使用することをお勧めします。 rootユーザーのみがポート1〜1023にバインドできます。誰でも1024以上の非特権ポートを使用できます。

このステートメントが何を意味するのかはわかりません。SSHのデフォルトはポート22です。ただし、ポートを別のポートに変更することをお勧めします。

ポート22にはすでに特権が与えられていますが、上記の注意事項について、ポートを2022に対して483に変更するとどうなりますか?どのポートに変更するかに関係なく、anyoneは引き続きそのポートにSSHで接続できます。

3
rolinger

このステートメントが何を意味するのかはわかりません。SSHのデフォルトはポート22です。ただし、ポートを別のポートに変更することをお勧めします。

SSHデーモンがリッスンしているポートを自由に変更できるというだけです。

ポート22にはすでに特権が与えられています

はい、そうです。

しかし、これを483対2022に変更した場合の違いは何ですか

私が知っているすべてのSSHクライアント-OpenSSH、PuTTY、dbclientはデフォルトでポート22を使用しようとするため、非標準ポートを使用してホストに接続するときに手動でポート番号を指定する必要があることを除いて、ほとんどありません。ポート番号を設定に保存します。これは1回限りのジョブです。また、実用的な観点から、一部の人々は、SSHデーモンがポート80または443でリッスンしてHTTPまたはHTTPSのふりをするように設定し、SSH接続がホテルや空港などの過度のファイアウォールによってブロックされないようにします。

上記のメモに関して?どのポートに変更しても、誰でもSSHでそのポートにアクセスできます。

Anyone can use the unprivileged ports of 1024 and greater.彼らは、ローカルの非rootユーザーがサービスに非特権ポートを使用できることを意味しました。外部から特定のポートでリッスンするサービスに接続することではなく、そのポートを使用するようにローカルサービスに指示することです。 SSHサービスに特権ポートを使用することを推奨する理由については、次の理由によります。

1024未満のTCP/IPポート番号は、通常のユーザーがサーバー上でサーバーを実行することを許可されていないという点で特別です。これはセキュリティ上の問題であり、これらのポートの1つでサービスに接続した場合、一部のハッカーがあなたのために用意した偽物ではなく、本物であることをかなり確信しています。

http://info.cern.ch/hypertext/WWW/Daemon/User/PrivilegedPorts.html から)

さらに拡張するには- ServerFaultに関するこれらのコメント で説明されているように:

これがまさに、1023を超えるポートで特権デーモンを実行してはならない理由です。すべてのユーザー(ローカルまたはリモート)がクラッシュするまでDDoSを実行し、ローカルユーザー(PHP、Apache、MySQL、リモート実行の脆弱性があるもの) )は、同じポートで独自のデーモンを起動して、接続するのを待つことができます。

2