我应该将 SSH 端口限制到特定 IP 吗？

Question

如果您不允许使用密码进行 SSH 登录，而是将登录限制为基于密钥的登录，则可以防止犯罪分子通过猜测密码闯入您的系统。如果您运行的 SSH 服务器可通过端口 22 广泛访问互联网，您可能会发现每天都有人试图通过以下方式闯入它字典攻击即尝试使用系统中可能存在的帐户名（例如“root”或甚至像“john”这样的常用名称）登录，并与字典中的每个单词配对作为密码。如果 SSH 服务器上没有机制，例如Fail2ban限制从已观察到多次无效登录尝试的 IP 地址访问服务器。

但是，将 SSH 登录限制为基于密钥的身份验证并不能使您免受可能的攻击。例如，SSH 的先前版本中发现漏洞.例如，假设一个新的零日漏洞在 SSH 协议中，如果你还将 SSH 登录限制为仅特定 IP 地址，那么你将获得额外的保护级别，即你将拥有纵深防御策略中，除了 SSH 服务器软件所采用的机制之外，您还有另一层保护。但有时，了解合法 SSH 登录所需的每个 IP 地址并不实际，甚至不可能将系统防火墙的访问限制在一定范围的 IP 地址，但如果您可以这样做，这将为您提供额外的保护。

Answer 1

如果您不允许使用密码进行 SSH 登录，而是将登录限制为基于密钥的登录，则可以防止犯罪分子通过猜测密码闯入您的系统。如果您运行的 SSH 服务器可通过端口 22 广泛访问互联网，您可能会发现每天都有人试图通过以下方式闯入它字典攻击即尝试使用系统中可能存在的帐户名（例如“root”或甚至像“john”这样的常用名称）登录，并与字典中的每个单词配对作为密码。如果 SSH 服务器上没有机制，例如Fail2ban限制从已观察到多次无效登录尝试的 IP 地址访问服务器。

但是，将 SSH 登录限制为基于密钥的身份验证并不能使您免受可能的攻击。例如，SSH 的先前版本中发现漏洞.例如，假设一个新的零日漏洞在 SSH 协议中，如果你还将 SSH 登录限制为仅特定 IP 地址，那么你将获得额外的保护级别，即你将拥有纵深防御策略中，除了 SSH 服务器软件所采用的机制之外，您还有另一层保护。但有时，了解合法 SSH 登录所需的每个 IP 地址并不实际，甚至不可能将系统防火墙的访问限制在一定范围的 IP 地址，但如果您可以这样做，这将为您提供额外的保护。

我应该将 SSH 端口限制到特定 IP 吗？

答案1

相关内容