Si usted es el único que accede a la máquina, creo que es útil mantener limpios los registros ssh seleccionando un puerto no estándar para ssh.
Sí, esto es trivial de omitir si el atacante usa una botnet para hacer un simple escaneo de puertos, por lo que no agrega seguridad contra un atacante serio (aunque te impide ser la fruta más difícil). Aún tiene sentido tener frases / claves de contraseña ssh fuertes y otras mejores prácticas (por ejemplo, deshabilitar los inicios de sesión de raíz). Pero en mi VPS, encontré que redujo los ataques de inicio de sesión fallidos que vería en los registros de direcciones IP aleatorias de miles de intentos diarios a cero en los últimos tres meses.
Básicamente, simplemente elija un puerto que no se esté utilizando para otros fines (y tiendo a elegir puertos que no se usan para nada al verificar /etc/services
para asegurarme de que no esté usando un servicio conocido) - y también selecciono puertos en el rango de puertos del sistema menos de 1024), por ejemplo, 501. Luego, simplemente reenvíe los puertos en su enrutador para reenviar las solicitudes TCP entrantes en el puerto 501 al puerto 22 en la máquina local.
Luego te conectas con ssh -p 501 $your_routers_ip
del mundo exterior. Si configura un archivo .ssh/config
, puede poner el puerto allí:
host example
Hostname example.com # or ip address
User jimbob
Port 501
ForwardAgent no
ForwardX11 no
y luego solo puede hacer ssh example
y automáticamente irá al puerto correcto / nombre de usuario correcto (y deshabilitará el reenvío de X11 / Agente).