Question SELinux supprimer ou laisser l'ancienne étiquette de port SSH?


je suis ce guide de sécurité (de base) changer le port SSH de mon serveur en quelque chose d'autre.

Ça dit:

$ semanage port -a -t ssh_port_t -p tcp 2345 #Change me 

... qui ajouterait une nouvelle étiquette au-dessus du port 2345 pour indiquer que cela est pertinent pour SSH et que le processus SSH peut accéder à ce port.

Ce qui me dérange, c’est que cela ne supprime PAS l’étiquette de l’ancien port 22.

Est-il plus sûr de laisser l'ancienne étiquette en place ou de l'enlever? Je ne sais pas si le paramètre par défaut pour les ports se situe dans un espace confiné ou non confiné, et je pense que cela peut avoir de l'importance.

S'il vous plaît corrigez-moi si je me trompe, mais la commande pour supprimer l'ancien port est la suivante:

# semanage port -d -p tcp 22

5
2017-09-08 20:14


origine




Réponses:


Il n’ya aucune raison importante de supprimer l’étiquette de type de port du port 22 (et le transfert de votre serveur ssh sur un autre port ne vous rendra pas nécessairement plus sûr). Si vous supprimez l'étiquette, sshd ne pourra pas se lier au port 22 ni écouter les connexions.


3
2017-09-08 20:21



Par curiosité, vous avez mentionné (nor is relocating your ssh server to another port necessarily going to make you more secure). Pourquoi pas? J'aurais pensé que For a hacker to determine ssh is running on your machine, he'll most likely scan port 22 to determine this. An effective method is to run ssh on a non-standard port. s'appliquerait? - Florian Mertens
Cela ne fait que "vous protéger" des scanneurs au volant qui essaient simplement un grand nombre de noms d'utilisateur et de mots de passe par défaut. Ne pas autoriser les connexions root avec un mot de passe et s'assurer que vous avez des mots de passe forts pour tous les utilisateurs suffit. Déplacer le port n'est pas suffisant pour un ciblé attaque, car l'attaquant peut trouver le nouveau numéro de port en quelques secondes avec une analyse de port. - Michael Hampton♦
D'accord. Je vous remercie ! - Florian Mertens
@ MichaelHampton Que se passe-t-il si vous utilisez la détection de scan de port et bloquez de telles tentatives? (liste noire IPS que d'essayer d'obtenir des ports indéfinis)? Pourquoi il n'est pas possible d'exécuter la commande suivante semanage port -d -t ssh_port_t -p tcp 22 et supprimer le port par défaut? Je reçois une erreur comme celle-ci: Port tcp/22 is defined in policy, cannot be deleted - Ilia Rostovtsev
@Achilles Vous pouvez ajouter un port, mais vous ne pouvez pas supprimer le port par défaut de la stratégie SELinux. - Michael Hampton♦