Någon "fara" med att ha port 21 öppen på linux server?

Finns en uppsjö saker du kan göra för att förbättra SSH!

Kan skriva ihop en liten guide åt dig...

Eller använda google
http://thinkhole.org/wp/2006/10/30/f...re-secure-ssh/

Tänkte bara om personen ifråga inte är så kunnig på engelska...

http://translate.google.se/translate...ssh%2F&act=url

Nu kan jag för mitt liv inte förstå varför ingen redan sagt detta med tanke på vilket ämne tråden ligger under..

Det finns ALLTID en risk med SAMTLIGA öppna portar!

Applikationen som lyssnar på porten kan vara sårbar för en exploit eller kan bli sårbar för en framtida exploit varför man aldrig ska öppna för sådant som inte absolut måste vara igång.

Jösses, så är det ju fan med allt. Living on the EDGE!
Så länge han kör fail2ban eller liknande program så är han ju *relativt* säker.

Ja exakt, då är han "jättesäker"!

Kan ju vara därför jag skrev "relativt" säker, eller?!
Klart som fan att han aldrig är HELT säker exploits/0days kommer ju hela tiden men fail2ban bannar ju iaf dom flesta försöken iom att dom brukar vara automatiserade.

Bannar bruteforceförsök ja men andra typer av exploits, exvis bufferoverflows eller liknande? Ibland krävs bara ett försök..

Som redan sagts i tråden är givetvis SSH är mycket bättre val än FTP. Du kan begränsa SSH till att ha exakt samma funktioner som FTP om du så önskar. Som det även har kommit fram i tråden är att ha öppna portar kan vara en risk för 0days (eller om du inte har uppdaterat på ett bra tag), vilket även kan fixas till genom fail2ban men jag rekommenderar hellre port knocking och du blandar det med att bara vissa ranges är tillåtna att ha access, då kan jag nästan garantera dig att du är säker.

Rätta mig om jag har fel, men det är inte möjligt att skicka en payload till en stängd port och exploatera.

Så svaret på att ha port 21 "öppen" är: ha port knocking.

SSH må rent krypteringsmässigt vara säkrare än FTP, men under mina år i "branschen" har jag sett fler lyckade hacking-attacker mot SSH-servrers än FTP-servers där bruteforce-attacker är mer vanliga. Så oavsett vad man väljer så måste båda varianterna ändå skyddas ordentligt. Man kan ju hoppas att det redan varit underförstått för alla här, men det tål att nämnas en extra gång ändå.

Det första du måste göra är att ändra lite. Som många har sagt är fail2ban ett program du måste installera. Sedan måste du ändra i filen /etc/ssh/sshd_config efter du ändrat filen (med root/sudo) startar du om med /etc/init.d/ssh restart eller startar om servern.


FileZilla klarar ssh by default. I snabbanslut skriver du bara portnummer 22 och använder din vanliga inloggning till servern.