Az SSH-t azért szokták áttenni más portra, mert, amennyiben az a net felé elérhető, sokszor válhat brute force támadás áldozatául automata eszközök által. Ezek ugye alapvetően azt csinálják, hogy mennek végig az IP-ken és a 22-es, ha van 22-es port nyitva (és nem kulcs alapú auth), akkor nekilátnak bruteforce-olni. Persze megfelelően erős jelszavak mellett (és a root user ssh-n történő bejelentkezésének tiltása mellett) kevésbé kellemetlen, de telefossa a logot.
SSH témával kapcsolatban említeném azért a legutóbbi OpenSSL sebezhetőséget is. Mélyen nem mentem bele a dologba, de azt írták, hogy ssh (is) érintett, pubkey auth esetén. Akkor +1, hogy miért jó néha más portra tenni az ssh-t, mert, ha megint valami script pásztázni kezdi a netet és a 22-es portoknak elkezd exploitot tolni, lehet, hogy épp megmenekülsz, legalább addig, míg látod az advisory-t és gyorsan frissítesz.
A minden szolgáltatás csak azon az ip-n figyeljen, amin kell pedig szintén nem hülyeség. Egy dolog egy tűzfal appliance, megint másik egy iptables, de mindkettőnél el lehet cseszni véletlenül a konfigot. Ez csak egy példa és olyan helyen állja meg a helyét, ahol tényleg több interfész van, pl. 1 standard és 1 a managementnek, ahol pl. az ssh kizárólag management hálózaton figyel.
Azt kellene megérteni lassan, hogy az IT biztonság nem abból ál, hogy belőssz 2 programot, meg beteszel négy kütyüt a hálózatba, ami tutira megoldja a problémát. Ilyen nincs. Azt szoktam mondani, hogy a biztonság az layer-ekből épül fel és, mivel tökéletes biztonság nincs, ezért minden egyes lépéssel törekedünk arra, hogy a támadó dolgát megnehezítsük.
Morin
CEH / ECSA / ABC / NBC / FBI / KGB / NSA / STB