@timur102

Уязвимость ли, что открыть 22 порт?

Я просканировал порты : 22,80,110,143,443,993,995 открыты.
Это уязвимость ли это? И что надо делать ? Как могут взломать?
  • Вопрос задан
  • 615 просмотров
Решения вопроса 1
Это уязвимость ли это?
Да, любая возможность зайти на систему является потенциальной уязвимостью. В идеале надо закрыть все порты, исключить возможность связи с глобальной сети, и допускать только после трехкратной идентификации личности, под прикрытием вооруженной охраны.

Вопрос лишь в том насколько опасна именно для вашего случая эта потенциальная уязвимость?
Взломать могут подбором пароля, кражей ключа, и кучей других способов.
Вероятность довольно небольшая, но существует.

Для минимизации угроз, можно разрешить доступ только с определенных адресов, использовать разные хитрушки вроде порт-кнокинга, для защиты от подбора использовать fail2ban, а можно вообще ничего не делать.
Иногда это не имеет смысла, т. к результат не окупает затраченных средств.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
marataziat
@marataziat
джангист-такторист
Если IP часто видят в интернете закройте неиспользуемые порты, либо откройте VPN. Про fail2ban - херня, если увас авторизация по public/private key это уже 99.9% безопасность.
Ответ написан
Sanes
@Sanes
Запретите вход по паролю или используйте очень сложный пароль. Поставьте fail2ban/ Если паранойя еще не отпустила, то поменяйте номер порта.
Этого более, чем достаточно.
Ответ написан
CityCat4
@CityCat4
Жил да был CityCat за углом...
Это уязвимость ли это?

Это открытые порты сервисов :D
22 - ssh. Безопасно, если вход по ключам
80 - http - здесь собственно сайт :) Безопасность сайта - отдельная тема
110 - pop3 - почтовый протокол локальной доставки. Устарел. Если нет необхоимости - отключить
143 - imap - почтовый протокол локальной доставки. У Вас кроме сайта тут еще и почта?
443 - https - безопасная часть сайта
993 - imap over ssl. imap поверх самостоятельно открытого SSL. Не думаю, что Вам реально нужен
995 - pop3 over ssl. pop3 поверх самостоятельно открытого SSL. Точно не нужен
Ответ написан
@Dobryak88
Системный администратор
Сетевые сервисы (очевидно, ssh, web и почта) вам нужны, значит открытые порты в любом случае будут. Можно их поменять на нестандартные, но пользы от этого чуть больше нуля: сканирование открытых портов на интерфейсе занимает несколько секунд.
Значит нужно защищать уже открытые: аутентификация, фильтрация по IP/mac, fail2ban, авторизация по сертификату и т.д.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы