我所说的强大和低麻烦的意思是,不涉及复杂的 iptables 设置,不涉及 apache,不需要额外的客户端程序,不需要从 cron 运行脆弱的 shell 脚本等。
是否有人有 sshd 和 ssh(客户端)补丁来启用 sshd 服务和客户端本身内置的某种形式的端口敲击?
例如,拒绝端口 22 上的连接,直到收到正确加密和验证的 UDP 数据包,这样就很好了。
令我失望的是,所有端口敲击解决方案都是无耻的黑客行为,而不是针对相关程序经过良好集成和测试的补丁。
答案1
被敲似乎是更成熟的实现之一,尽管不符合你作为 sshd 本身补丁的标准。我个人认为青睐外部程序,原因包括:
- 它可用于帮助保护其他服务(例如 IMAP、OpenVPN)以及 ssh
- 为 sshd 修补额外的功能会增加引入漏洞的可能性(无论这样的补丁如何“测试”,sshd 都会以 root 身份运行,因此最小的缺陷都可能造成相当大的影响)