>>более слабое средство попросту бессмысленно
>
>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>более сильным — согласен. Но имхо это не тот случай же. Именно тот.
>>более того, затраты на его использование, связанные
>>с кастомизацией, _больше_ затрат на грамотную защиту.
>
>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.
>>> Не буду утверждать, что спец
>>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>>же.
>>Обсуждаемую в новости проблему он закрывает.
>
>Хорошо, но в реале все равно приходится защищаться от всего, что только
>можно придумать.
Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется затратить больше средств, чем он получит бонусов в результате взлома.
>>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>>вы его повесили. И не просканить — ваша собственная защита ваш
>>IP и заблокирует, останется только… создавать/арендовать ботнет?!
>
>Я не говорил, что на всех машинах надо его еще и разным
>делать ) Оно конечно будет на какую-то долю процента эффективнее, но
>тут тоже согласен, шкурка вычинки не стоит.
>А уж один новый порт можно и запомнить, особенно если выбирать его
>не совсем из /dev/urandom
Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да и смысл перевешивать на легко угадываемый порт?!
>>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>>непрофессиональная, но от этого не перестающая быть нежелательной.
>>Она с тем же успехом отвалится и от других, более жёстких и
>>эффективных, мер.
>
>Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если
>найду" еще дойти надо, с некоторыми затратами времени и сил.
Нормальной системе брутфорс попросту не страшен. А насчёт «дойти надо» — кому надо, тот и дойдёт. И тогда плакали все ваши, пардон, извращения.
>>Во-первых, повторюсь: перенос порта НЕ есть маскировка.
>
>Я лично под этим термином понимаю что-то вроде "меня здесь нет". И
>тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.
Перенос порта — это переезд из одной квартиры в другую в том же доме. Вот port knocking — это да, маскировка. Со своими неудобностями, но всё же неплохой и порой оправданный метод.
>>Во-вторых, просканить порты ботнетом — легко и безопасно.
>
>Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет
>нулевую опасность на всем множестве вариантов атак существующих и тех, которые
>еще появятся?
Нет, наоборот. Но взлом одиночкой будет вестись, если он не мазохист или не смог найти дыру в используемом SSH-сервере (а это уже, согласитесь, далеко не уровень kiddie-брутфорсера), через другие сервисы: WWW, FTP, SMTP… Хакер может попробовать типовые комбинации, типа test:test, но не более. SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.
