Спорный вопрос – изменение порта ssh соединения с сервером

Да это ничего не меняет принципиально, когда мы рассматриваем гипотетическую ситуацию появления нового способа обхода авторизации как таковой. Будешь в списках - падешь первым.

за последние полгода смена порта помогать перестала, три раза меняла, все равно находят,

причем сервера в разных ДЦ, разные AS, даже на домашний роутер ломятся

реальный вариант избавиться от ботов-долбанавтов - белые списки IP, радикально.

Сменить, чтобы логи были чистые.

Поставить Portsentry, чтобы банило от одного прикосновения любопытных к любым неположенным портам.

Сложный пароль и fail2ban и пусть долбятся. Мне лично ничем не мешают. Чтобы подобрать пароль надо пару тысячелетий наверно.

Хотя если будет способ обхода авторизации. Пойду порт поменяю и Portsentry поставлю. Паранойя вещь полезная :)

Полностью поддерживаю. Создаете вход по сертификату и ровно пофиг, какой там порт ssh, пусть остается дефолтный 22. На AWS именно так изначально, проблем ни малейших. Всем рекомендую, кто хочет работать грамотно, так как вопроса здесь нет, на мой взгляд. А кому лениво - развлекайтесь с fail2ban и тому подобное.

А хранить ключи на винте, это "грамотно"? Или у вас токен аппаратный?

Это нормально, потому как

1. для приватного ключа нужен еще и пароль

2. если локальный тазик все же поимели до шелла, то файл ключа у "хацкера" - самая минимальная из проблем, кои вы заимели на тухес

Уже не впервые прикалывает уровень технических вопросов на серче; не столько сам их контекст, ибо учиться никогда не поздно... сколько некая эмоциональность, в них вкладываемая. Ни дать ни взять второй ЛОР, отношение к которому технических специалистов, кажется, вполне четко определено и не нуждается в дополнительных комментариях... Разумеется, 2 + 2 != 4, кто бы спорил; в плане контроля над работой разработчиков бэкап более адекватен, нежели системы контроля версий, которые безусловно избыточны; а доступ на сервер по сертификату - "менее грамотен", чем пароль и file2ban, подразумевающий открытый на сервере ssh-порт для всех диапазонов IP... просто нет слов, сколь много нового для себя узнаю.

Ответ на ваш вопрос: хранить сертификат на ПК - значительно более грамотно (без кавычек), нежели все вышеописанное; по той простой причине, что у абсолютного большинства виндозников по умолчанию firewall с закрытым 22 портом и серый IP от провайдера, что вкупе дают последнему вполне неплохую гарантию от взлома. Никогда не приходило в голову, что серый ваш IP уже представляет из себя некий примитивный брандмауэр? - и ничто не мешает зашифровать файл/директорию/раздел/флэшку с паролями/сертификатами на своем рабочем ПК, коли уж так всерьез заботит возможность физического доступа и проблемы безопасности.

Нет.

Если под "приватным ключом" подразумевается SSH-сертификат, хранящийся на ПК администратора сервера, то использование пароля возможно, но не обязательно.

У такой же вас религиозный взгляд на проблему, как у поруганных вами лоровцев, просто приход другой.

Винда и безопасность? Ну да, ну да.

В чем относительная разность безопасности "сертификата на винде с паролем" по сравнению с "просто сложным паролем"?

Для получения обоих злоумышленнику достаточно протроянить винду. А без этого вероятность взлома в обоих вариантах стремиться к нулю. Вспомнить хоть бы всеми забытую "карету" (Careto).

Но да, я знавал немало неуловимых джо, которым и оба эти варианта казались небезопасными - и они юзали аппаратные токены.

---------- Добавлено 08.07.2019 в 00:16 ----------

Да, допустим вы шифруете флешку. Даже уносите ее с собой. Нот в момент вашего отсутствия комп троянится. Вы приходите - разблокируете флешку и заходите по сертификату на сервер. В этот момент все ваши доступы благополучно улетают.