对于来自动态IP地址或旅行时(即某些随机酒店IP)的ssh或VPN登录,使用knockd与使用基于动态DNS的身份验证有什么优缺点?理想情况下,任何具有ssh / VPN客户端功能的设备都应该能够使用任何其他必需的客户端软件。
(替代方案,保持ssh / VPN端口对所有人开放,不是很有吸引力。)
我倾向于赞成敲击(或其他端口敲击守护进程),因为它不依赖第三方保持其东西不妥协......
答案 0 :(得分:3)
你真的害怕保持SSH端口开放吗?会发生什么事?
您已拒绝root访问权限,您已经安装了类似BFD或denyhosts的内容,您只使用公钥身份验证...您真的认为这不安全吗?
像嘲笑这样的东西,恕我直言,可能会引入一种虚假的安全感。
答案 1 :(得分:1)
好吧,除非您使用DNSSEC,否则基于DNS的身份验证是一个相当不错的主意。 DNS不安全,酒店提供商经常使用DNS。
答案 2 :(得分:1)
我自己,我在非标准端口上使用ssh,只接受带有密钥文件的用户登录。
当我在端口22上运行ssh时,有很多字典攻击,但它们都使用了“root”用户(不管怎么说都不允许通过ssh登录)。
答案 3 :(得分:1)
即使你保持SSH端口关闭,你也只能打开openvpn的端口(让openssh只在vpn接口上监听)。