使用晦澀的端口號是否提高安全性？通常，您只是擺脫了日誌中的噪音。

我擔心偏離這些建議會帶來意想不到的後果。

這取決於所選擇的端口。在Linux中，默認情況下，所有1024以下的端口都需要root訪問權限才能偵聽它們。如果您使用的端口高於1024，那麼如果尚未有進程在監聽，則任何用戶帳戶都可以監聽該端口。

為什麼這很重要？假設您選擇將ssh設置為綁定到端口 20,000 。如果有人可以停止服務器上的SSH進程（假設他們以某種方式找到了使該進程崩潰的方式），並且可以對該服務器進行本地訪問，則他們可以在端口 20,000 上運行自己的SSH服務器。服務重新啟動之前。然後，任何登錄的人都會登錄到壞人的SSH服務器。

這已經不像以前那麼重要了，因為如今，只有受信任的IT員工才能獲得登錄權限服務器。但是，如果攻擊者在您的服務器上立足，它確實有可能導致特權升級和其他麻煩。

除了低於1024之外，數字22沒什麼特別的。之所以選擇該數字是因為SSH替代了端口 23 上的telnet，並且FTP已使用 21 。只要您選擇 1024 以下的端口，該端口就沒有關係。

這是好習慣嗎？我們應該使用眾所周知的端口嗎？

我不會說我推薦它。我也不反對這樣做。就像我說的那樣，它避免了日誌文件中的大量干擾，但是好處僅限於此。

對於對SSH背景故事感興趣的任何人，您都可以在以下網址找到它： https://www.ssh.com/ssh/port

是的，確實如此。真正的問題是：多少？

為什麼呢？您已經具有基本的安全性，因此日常的bot攻擊不必擔心。但是明天可能會是0天，攻擊者知道直到補丁發布不會很快，因此他們爭先恐後地使用它，而不會打擾複雜的事情-他們只會在盡可能多的計算機上攻擊標準端口。任何一種理論上的SSH蠕蟲都將使用此策略。您將受到保護。

這可以為您帶來多少安全保障？它可以防止這種情況發生，甚至可以防止其他2-3種特定情況。對於完全不是白痴的人，任何針對性的攻擊最多只會增加幾分鐘的時間。

將這些數字放入您喜歡的風險分析方法中，您應該想出一些相對較小的方法。不利的一面是，您需要付出更多的努力來設置非標準端口號，對其進行記錄，在故障排除過程中可能會丟失它並浪費一些時間等。與分析。或者換句話說：是的，它確實可以提高安全性，但是值得一提的是，因為改進很小。

否，它不會提高安全性。這可能會減少日誌混亂，因為自動攻擊只會嘗試默認端口，例如ssh。但是該端口仍會在端口掃描和 shodan.io中顯示為SSH。

這些自動攻擊通常旨在利用標準用戶名（例如root，史密斯等等，以及弱密碼。如果它們成功，那麼您首先會遇到問題。並不是真正的威脅。

我使用fail2ban配置為在三次失敗嘗試後暫時阻止五分鐘，並在3 * 5次失敗嘗試後一周阻止。這樣可以減少日誌混亂，並阻止蠻力攻擊的任何實際進展。

對於有針對性的攻擊者來說，偵聽哪個端口沒有什麼區別。我認為，對於自動攻擊而言，風險微不足道。

更改默認端口可以使您免受端口掃描和腳本小子的攻擊，但您可能無法抵禦攻擊者可以識別與端口無關的運行服務的定向攻擊。

只是從腳本小子那裡逃脫，這可能會有所幫助，但您可能無法確保自己免受其他高級攻擊的侵害。

我的建議是使用默認端口（可能會減少您的管理開銷）並部署多方面的安全防護以緩解攻擊。

例如，在使用默認端口的情況下，僅允許對某些受信任的源使用SSH部署基於證書的身份驗證。

我會說是的，請使用非常規端口號，因為這會過濾掉許多自動程序。但不要依賴它，因為我注意到很多機器人都會在網絡/主機上掃描任何打開的端口並嘗試使用它們。

最好的辦法是在SSH端口上實現一些良好的安全性。禁用root登錄，如果可以的話，將IP列入白名單，不要使用密碼進行登錄（使用keys），還應啟用任何登錄通知。並設置防火牆，這很重要。

像這樣阻塞大量端口只會停止簡單的漫遊器，而漫遊器會尋找眾所周知的端口。腳本小子和堅定的黑客可以簡單地通過端口掃描其餘端口範圍來找到服務，因此您只需要停止一些日誌噪音即可。

與不聽標準的約定無關緊要該服務的端口。該服務的開發人員可以選擇在任何其他端口上運行它，並且可能與該端口交互的任何程序都可以選擇指定要與哪個端口通信。

我同意其他這裡的帖子說，像SSH這樣的敏感端口應該保留在1024以下的特權端口空間中。

掩蓋SSH的一種更好的方法實際上是有效的，它是進行端口敲除。這涉及在iptables處關閉端口，直到“敲響”了一系列端口，然後將打開所需的端口。

EG，您可能會向8000 4545 28882 7878發送一個數據包。輸入的iptables將解鎖您想要的端口。實際上，這確實阻止了大多數腳本小子和黑客，因為沒有廣告宣傳任何端口。但這並不能阻止重放攻擊，但是在這一點上，您還有更大的問題要擔心。

https://en.wikipedia.org/wiki/Port_knocking。

真的，您應該使用TCPWrappers，並且只允許已知的ip和網絡範圍訪問SSH之類的端口。您是否需要讓來自中國的IP訪問SSH？還是開發人員僅需要從辦公室局域網訪問？如果他們可以遠程工作，請將其VPN接入局域網

正如其他人所提到的那樣，遷移到非標準端口不是安全的解決方案，因為您只過濾了幼稚的攻擊。

同一時間，如果與其他端口結合使用，則遷移會更有價值。預防措施。例如，您將蜜罐放置在標準端口上（該環境與系統的其餘部分物理隔離，但對於攻擊者來說似乎是合法的部分）。然後，如果您看到某人闖入蜜罐，則很可能是黑客，因此您可以自動將其禁止。

當然，您不應使用已知漏洞的過時軟件，無論他們綁定以監聽的端口號。

不，不是，或者如果我想更精確地說明，對威脅的保護是錯誤的。

退後一步：我們想要什麼威脅保護免受？我們試圖保護的威脅是公共互聯網上的任何人，他們可以繞過正常的身份驗證機制。這就是這些“腳本小子”正在嘗試做的事情：即使未經授權，也要使用SSH訪問服務器。特別是，您的上級希望阻止這些攻擊者甚至無法開始建立SSH連接。

阻止建立網絡連接的標準技術是什麼？ 防火牆。此問題的標準答案是僅將端口22完全阻止外部通信。更大的問題是SSH完全可以用於公共Internet，並且防火牆可以完全解決此問題，而晦澀的端口僅將其稍微隱藏了一下，實際上並沒有阻止連接。如果需要外部訪問，則允許此授權訪問的標準答案是進入網絡的VPN。這將同時阻止腳本小子和知識攻擊者，他們可能會弄清楚如何找到您實際使用的端口。

如果輸給1％的攻擊者，您仍然輸給。您需要針對100％攻擊者的保護措施。相反，如果您成功地阻止了100％的攻擊者（到目前為止），那麼您必須具有更強大的保護措施。 這些其他保護措施使晦澀的端口變得無關緊要，（如果確實如此），所有使用其他端口的做法都會使那些不太熟悉實際安全實踐（如您自己）的人們感到困惑，並且很可能，浪費了人們嘗試連接時試圖獲得合法訪問權限的時間（未配置新系統，必須詢問某人正確的端口，管理員忘記告訴該人有關非標準端口的信息，而該人不得不再次打擾他們以診斷問題，等等。）

這就是為什麼我們對“默默無聞的安全性”和 Kerckhoffs的原理抱以沉思。我們應該避免使用無法真正保護我們的行為來分散自己的注意力。我們應該節省時間和精力來進行切實有效的保護，並避免這些混淆方法給我們帶來的錯誤的“安全”感。

最後，我想補充一點，安全是一個關於雙方資源的遊戲。時間就是這樣的資源。

這種方法浪費了攻擊者的時間，所以還不錯。當攻擊者資源仍連接到您的自定義端口時，您還可以了解它們。也許特別有針對性地針對您。

但是，如果這給您的管理任務增加了可觀的開銷，您可能希望將時間花在其他地方。如果不是，那就去做，但是不要依賴它。

對於高度脆弱的應用程序使用非標準端口是非常好的做法。 SSH有很多漏洞，而22是暴力破解的常見默認端口。

話雖如此，這可能取決於情況。在DMZ服務器上針對端口22進行暴力攻擊非常普遍，尤其是在企業環境中。例如，在金融領域，許多公司對SSH / SFTP流量使用不同的默認端口，以在組織之間進行有效的數據傳輸。

那種情況下的想法更多地是要過濾掉一些噪聲（端口22 Brute Forcing），以便更容易監視備用端口上的其他流量。足夠好的人都可以在面向Internet的服務器上找到任何開放端口。練習，我指的是面向互聯網的設備上的良好做法。防火牆後面的任何東西通常 是安全的。