SSHポートを1024未満に変更する必要がありますか？

ええと、ポートを22から別のものに変更できます。しかし、それはポートスキャンが最終的に表示しないものではありません。

セキュリティとSSHが心配な場合は、パスワードのみの認証を無効にしてください。また、サイトでスキャンを実行する悪意のあるホストを禁止するように構成されたfail2banなどのモニターログスキャナーをオンにします。

セキュリティについてさらに心配している場合は、ポートを変更することが理にかなっていることが1つあります。それを一般的でないものに変更し、ポートノッキングを実装することです。

ポートを変更するだけではまったく効果がありません。アクティブポートノッキングでポートを変更することは、まったく別の種類の問題です。

1024未満のポートは、カーネルによってCAP_NET_BIND_SERVICEを使用するデーモンとサービス用に予約されており、そのうちの1つはSSHです。

実際、スキャンでまだ開いているポートが見つかるので、sshポートを変更してもセキュリティはそれほど向上しません。ランダムホストのデフォルトポートでデフォルトパスワードまたはパスワードテーブルを試行する攻撃によって発生するログエントリは少なくなりますが、sshを正しく設定すれば、これらは問題になりません。

問題は、送信トラフィックが標準ポートに制限されている環境からサーバーに接続すると、問題が発生することです。私にとっては、SSHをデフォルトのポートで維持することをお勧めしますが、そのことについて喜んで議論する人もいると思います。

SSHを標準以外のポートに変更しても、セキュリティ上の利点はないようです。ポート22はSSH用に予約されているため、ポート22に留まることで競合が発生することはありません。また、SSHサーバーのセキュリティが非標準ポートでの実行に依存している場合は、仕事をしていません。

ポートを変更しても実際の標的型攻撃（必ずしも誰かがすべてのポートをスキャンしてSSHポートを見つけることができる場合）からあなたを保護するわけではないため、他の回答には部分的に同意しなければなりませんが、それはあなたを保護します辞書を持つランダムなホストまたは選択されたホストに対してブルートフォースを実行するボットネット。そして、この場合でも、適切な技術者なら誰でも、パスワードが十分に強力であることを確認することを知っていると思います。ソフトウェアの新しいインストールでは、実際には強力なパスワードが必要であることは言うまでもありません。分散型サービス拒否攻撃からサーバーを保護すると私が思うのは、サーバーを遅くしたり、ログをがらくたにしたりすることです。 fail2ban＆co。これを行う単一のホストに対して素晴らしい仕事をすることができます、彼らは本当に大きなボットネットに対してかなり効果がありません。

反対に、SSHアクセスを提供するWebホストなどを実行しない限り、SSHポートをインターネットに開いたままにする理由はわかりません。それ以外の場合は、SSHへの接続が信頼できる特定のIPのみを許可する必要があります。これがベストプラクティスです。ポートをノックしない、ポートを変更しない、fail2banではない。

したがって、私に尋ねると、2つのオプションがあります。

1. SSHをインターネット用にオープンにする特定のニーズがあります。この場合、SSHポートを変更し、fail2banをインストールします（Xがパスワードの入力に失敗した後にアカウントをロックするように設定することもできます）。
2. SSHを閉じて、特定のIPのみをホワイトリストに登録します。

編集：

1024を超えるものと1024未満のものを忘れました。実際、多くのファイアウォールには、1024未満のポートを使用する方が意味のある特定のルールがあります。たとえば、1024を超えるポートで着信する接続を拒否するファイアウォールがあります（ルートでサービスを開始する必要がある、またはエクスプロイトではなくポートをリッスンする必要なカーネル機能が必要になるため）、他のファイアウォールは、システムサービスがこの利点などを享受できるように、ポートを低くする.