SSH Port umlegen: Aus welcher Portrange sollte ich den Port wählen?

[gimmebytes]

Moin Leute,

habe seit 10 Tagen nen VServer am laufen, damit ich endlich PHP5 mit allen extensions benutzen kann und auch endlich zugriff auf MySQL5 habe. Aber das nur btw!

Ich habe den SSH-Zugang schon eingeschränkt, root darf sich nicht einloggen, nur mein normaler user account. Zusätzlich habe ich denyhosts installiert, der fehlerhafte Logins logt und nach bestimmten Regeln die IPs sperrt.

Nun hab ich gelesen, dass das Wechseln des Ports des SSH Server noch zusätzliche Sicherheit mit sich bringt, da die meisten User/Bots nur auf dem standard Port suchen.

Nun meine Frage(n):

Aus welcher Portrange kann ich bedenklos einen Port nehmen und was muss ich beim wechseln des Ports beachten?

Gruß & Danke

merv

 

[Siberian..Husky]

also ich würde einen port überhalb von 1024 nehmen. wichtig ist nur das du keinen nimmst den andere deamons auf deinem server benutzen wollen.

wenns um sicherheit geht kannst du dir noch port knocking ansehen. das sollte relativ gut gegen schwere bugs im ssh server helfen. natürlich nur solange es keine bugs in den iptables gibt .

 

[Paradiser]

ich bevorzuge einen möglichst hohen port >65000 die viel leute scannen nich so hoch und die bots suchen dort schon garnicht
ganz wichtig wäre auch noch das pass auth abzuschalten und sich nur noch mit key zu identifizieren

dazu den link: klick mich

 

[gimmebytes]

Das klingt gut, danke für die Tipps. Das mit dem Key werd ich auch noch einrichten, hatte davon auch schon gelesen, hatte aber keine Lust mehr das noch zu machen!

Wenn ich mich dann per SSH einlogge und den Port ändere und dann den SSH Daemon neustarte, bleibt die aktuelle Verbindung dann eigentlich noch bestehen? Weil ich muss mich ja sauber ausloggen können und wieder auf dem neuen Port einloggen, oder?

 

[Paradiser]

ja die verbindung bleibt bestehen bis zum ausloggen

 

[gimmebytes]

Alles klar! Besten dank!

 

[Uturn]

das sollte relativ gut gegen schwere bugs im ssh server helfen

...welche schweren Bugs im SSH? SSH oder OpenSSH?

Das mit dem Key werd ich auch noch einrichten,

Bringt dir auch mit am Meisten. (Kein "Security through Obscurity")

Beachte die Einstellungsmoeglichkeiten. (from="", no-port-forwarding, env, usw)

 

[Siberian..Husky]

ach, openssh wird für immer bugfree sein? gut, dann braucht man sowas natürlich nicht...

 

[Uturn]

...und um Vorzubeugen leg ich den Port um...klasse Idee

 

[Paradiser]

jo isses auf jedenfall, dann spart man sich wenigstens die ganzen "illegal user from..." einträge im auth.log

 

[Siberian..Husky]

...und um Vorzubeugen leg ich den Port um...klasse Idee

vielleicht liest du meinen post nocheinmal? um dem vorzubeugen bekommt niemand ohne passwort überhaupt zugriff auf den ssh server - also nichtmal einen login versuch.

 

[gimmebytes]

Moin Leute,

klasse, seitdem ich den Port umgelegt habe bekomme ich von Deny Hosts keine Meldungen mehr über versuchte und misslungene Loginversuche

 

[*cerox*]

Hi,

ich lege auch immer den SSH-Port um, um mir Script-Kiddie Login-Versuche zu ersparen. Ansonsten bringt dir das Umlegen des Ports nichts. Wichtiger ist es, dass du den root-Login deaktivierst, den Zugang nur von bestimmten Nutzern zulässt (AllowUsers AllowGroup usw) und die Schlüsselauthentifizierung verwendest.

 

[gimmebytes]

(...) Ich habe den SSH-Zugang schon eingeschränkt, root darf sich nicht einloggen, nur mein normaler user account. Zusätzlich habe ich denyhosts installiert, der fehlerhafte Logins logt und nach bestimmten Regeln die IPs sperrt.
(...)

Hab ich wohl schon alles gemacht