( Ar0n | 2020. 12. 06., v – 22:19 )

Ha visszaolvasod, nekem ezzel a kijelenteseddel van szakmai gondom:

Ha erős jelszavad van, amit nem használsz máshol és/vagy kulccsal engedsz csak belépést akkor védve vagy.

Tobb multbeli esemeny is alatamasztja, hogy ez nem eleg.

Ezt a non-default port dolgot te hoztad be ... Azt irtam, hogy ez mind1, ne erre hegyezzuk ki.

Ha nem vagy vulnerable és amúgy is megtalálják, akkor minek is?

Nincs mit megtalaljanak. A service port legyen filterezve, kiveve 1-2 cimnek legyen kizarolag engedelye csatlakozni. Ezen felul mindig azt kell feltetelezni, hogy vulnerable vagy.

Azt kell feltetelezned, hogy korhazba kerulsz es fizikailag keptelen vagy updatelni es pont akkor jon ki egy 0-day. Jon valaki es letitkositja a csaladi fotoidat majd penzt ker erte. Ok? :D

Egészen pontosan milyen kockázatot csökkentesz ilyenkor? Biztonságot vagy biztonságérzetet?

Hol irtam olyat, hogy ez barmilyen kockazatot csokkentene? Tegyuk fel feltorik a VPN szervert es hozzafernek a privat halozathoz. *Lehet* nem talalja meg az ssh service-t a 65000-es porton a tamado.

Analizaltam mar par botot, en azt lattam, hogy 10-bol 1-2 csinal csak full scan-t, igy a szamossagat legalabb csokkentheted, ami jo.

Ezutan meg kellene neki egy kulcs vagy valami vulnerability is. Sok sikert.

Hány olyan 0day SSH sebezhetőség volt, ahol támadható voltál és az védett meg, hogy nem default porton volt az SSH?

Hany olyan eset volt, hogy eluthetett volna valami de te tovabb setaltal es nem is vetted eszre, hogy mi tortent?

Mar nem emlekszem pontosan, de volt talan egy Redhat? ssh update, amiben egy trojan volt, illetve a debian randomizacios fuckup. Ha default porton csung garantaltan megtalalnak, amugy meg lehet nem, fuck knows.

Hany eltitkolt exploit szaladt ki innen-onnan az utobbi 10 evben? :D Ezen felul megbizol egy distroban, aki ilyen-olyen patchet alkalmaz forditas+csomagolas elott. Nyilvan a lancban mindenki crypto-ban jartas szakember...

Nem, én továbbra is azt mondom, hogy a GeoIP alapú tiltás és a port mozgatása nem fokozza a biztonságot. Csak a biztonságérzetet növeli, hamis képet ad a rendszer biztonságáról.

Igen, ebben igazad van. De EN, hol is kerdojeleztem ezt meg? Epp azt irtam, hogy az security by obscurity-nak minosul es nem elegseges.

Plusz üzemeltetési kockázat, minden egyes felesleges rule...

Akkor te nem blokkollnad?