On Mon, Jul 19, 2010 at 10:22 AM, John Van Ostrand <span dir="ltr"><<a href="mailto:john@netdirect.ca">john@netdirect.ca</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">----- Original Message -----<br>
> The single most effective thing you can do to prevent these types of<br>
> attacks is run ssh on a non standard port.<br>
><br>
> This will stop these automated scans right away.<br>
<br>
</div>But since everyone is changing it to 2022, 2222, 222, 1022 or something like that it's only a simple level of obfuscation that could easily be defeated.<br>
<br>
Do it right: refuse root SSH login, restrict login to a small subset of user ids. If you need to support passwords for dumb users, make sure they are complex passwords and restrict their use to just those logins. But try to go to key-based authentication. It's actually easier for admins. Use complex root passwords in case it accidentally gets re-configed and use sudo to avoid needing to know the complex password. And to avoid lots of log messages you can change the port.<br>

<br>
Trust me, once you go to keys for admin you won't go back it's way easier since you wont have to type in a password every time. If you travel a lot put the keys on a USB key, strongly password encrypted of course.<br>
</blockquote><div><br>All good advice, and should be followed regardless. ssh keys are far more convenient and secure than passwords.<br><br>My post was not about "making your server more secure", it was more on "stopping the scans" AFTER you have configured them for ssh key usage.<br>
<br>If you do what you recommend (which I do), you will still see scans happening if you still run ssh on port 22. Changing it to another port (and pick your own, don't use the one I posted, or one that John did, invent your own).<br>
<br>This will stop the scanning. ssh keys will not on their own. They make you more secure, but you will still be probed.<br></div></div>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com">2bits.com</a>, Inc.<br><a href="http://2bits.com">http://2bits.com</a><br>
Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>