J

akiś czas temu na Hacker News pojawił się artykuł próbujący udowodnić, że uruchamianie daemona SSH na innym porcie niż 22 (Opcja: Port w /etc/ssh/sshd_config) to zły pomysł. Czy na pewno? Autor głównie skupił się w swoich wywodach na argumencie security by obscurity, co jest ulubionym ryżym śledziem ludzi, którzy prawie rozumieją to zagadnienie.

Bezpieczeństwo “przez utajnianie” występuje tylko wtedy i tylko wtedy, gdy jest jedyną warstwą bezpieczeństwa, a nie jeśli zostaje dodane do już istniejących warstw. Jeśli posiadamy solidną konfigurację daemona, wgrane patche, wyłączone logowanie przez użytkownika root i słabe protokoły szyfrujące itd., i dodatkowo zmieniamy jego port – trudno nazwać to “security by obscurity”. Doskonałym przykładem ilustrującym ten przypadek jest wojskowy czołg. Po, co czołgi używają kamuflażu? Czy sprawia to, że są bardziej podatne na atak? Nie – wręcz przeciwnie. Malowanie zbroi na kolor wtapiający się w otoczenie nie pozbawia go jego opancerzenia – zmniejsza tylko prawdopodobieństwo, że ktoś go zaatakuje.

Więcej informacji: Why Putting SSH On Another Port is a Good Idea