以前、僕が公開しているサーバへのBrute Force Attack対策について書きました。その紹介した対策というのは、sshdのポート番号を通常の22番から49152番以降のprivate portに変更するというものでした(0-1023番はwell known port、1024-49151番はresistered port)。
その設定で運用していて、後日問題が発生しました。インターネットを経由して自宅サーバへsshアクセスを行なう際、途中の経路となるサーバやルータでprivate portへのアクセスが制限されていたため、コネクションを確立できなかったのです。
そこで設定を変更し、private portではなく自宅サーバでは利用していないwell known portをssh用のportとして代用する事にしました。僕が公開しているサーバではhttp、ftp、smtp、pop用のポートしか使わないので、1023番以下の多くのポートが余っているのです。これならば経路でパケットを破棄される事もなく、且つその多くは22番ポート決め打ちで攻撃してくるBrute Force Attackに対する防御にもなります。
0 件のコメント:
コメントを投稿