[О блоге] [наверх] [пред] [2020-09-16 10:11:01+03:00] [9d4d7109641471d49841ff2d63171374b0f07104]
Темы: [hate]

Безопасность через неизвестность

https://habr.com/ru/company/globalsign/blog/519304/
На днях я ещё ряд статей видел где рассказывают как поменять адрес SSH
порта, но тоже оставляют аутентификацию по паролю. Мол только по
публичному ключу это уже удел совсем совсем крутых. Это всё однозначно
вредные советы. Какова вероятность если у кого-то пароль "12345". С моей
точки зрения тут не нужно думать и прикидывать -- она 100% и только от
этого и отталкиваться. Да, я понимаю, действительно не факт что за год
работы кто-то обнаружит ваш сменённый SSH-порт и подберёт. Но это не
серьёзно. Любая целенаправленная атака сразу всё подберёт. На *любой*,
абсолютно любой, без исключения, системе я первым делом выключаю
парольную аутентификацию. А после этого: да какая разница на каком порту
SSH? Какая разница будут ли в него долбиться или нет? Смена порта только
доставит неудобства, в первую очередь -- вам. А про пароль уже давно
надо забыть. Я не против парольных фраз, или рандомных длинных паролей,
но это надо помнить, что разрешать вход нужно только людям с подобными
высокоэнтропийными паролями и убеждаться что они такими и остаются.
Больше геморроя, опять же, проще использовать ключи. Кроме того,
просканировать 64K портов вообще не составляет труда. А вот кто-то в
комментариях предложил повесить SSH сервер на совсем другой IPv6 адрес
(из /64) и мне вот это понравилось, ибо неудобства нет (всё равно через
hosts-like аналог будет адрес узнан или через DNS), а просканировать
сложно. Хотя любой дамп трафика конечно всё раскрывает.

Хорошо в комментарии сказали:

    При направленной атаке у 100% хакеров понимание неясности займет
    ничтожно мало ресурсов?

    [оставить комментарий]