Existe uma solução robusta e de baixo incômodo para a proteção baseada em porta-batida das portas SSH?

Navegue suas respostas
2

Por robusto e baixo aborrecimento eu quero dizer NÃO envolvendo configurações complexas do iptables, NÃO envolvendo o apache, NÃO exigindo um programa cliente adicional, NÃO exigindo scripts de shell frágeis rodando a partir do cron, etc.

Alguém tem sshd & patches ssh (cliente) para ativar alguma forma de port-knocking embutida no serviço sshd & cliente em si?

Por exemplo, rejeitar conexões na Porta 22 até que um pacote UDP devidamente criptografado e verificado seja recebido, seria bom.

Eu estou desapontado que todas as soluções port-knocking por aí são hacks desavergonhados, ao invés de um patch bem integrado e testado para os programas em questão.

    
por Alex R 21.11.2009 / 19:24

1 resposta

6

knockd parece ser uma das implementações mais estabelecidas, apesar de não se encaixar em seus critérios de ser um patch para sshd em si. Pessoalmente, eu favoreceria um programa externo por motivos, incluindo:

  • pode ser usado para ajudar a proteger outros serviços (por exemplo, IMAP, OpenVPN), bem como ssh
  • aplicar funcionalidade extra ao sshd aumenta a probabilidade de introduzir vulnerabilidades (não importa o quão "testado" seja esse patch, o sshd é executado como root, então a menor falha pode ser bastante desagradável)
por 21.11.2009 / 20:15

Tags

Encontre todos os links sym que apontam para um arquivo em particular Como determinar a configuração real da CPU virtual da imagem ESX?