Sofern diese IP-Adresse nicht zu einem dedizierten Verwaltungsnetzwerk gehört, das zusätzliche Sicherheit implementiert, ist dies eine Verschwendung von Ressourcen.

Beide IPs landen offensichtlich auf demselben Server. Dies bedeutet, dass es keinen Unterschied zwischen einer Verbindung zu SSH auf der einen oder der anderen IP-Adresse gibt, sofern sie nicht über verschiedene Netzwerke (dh ein Verwaltungsnetzwerk, das zusätzlichen Schutz implementiert) eingehen: Sie können diese genau auf die gleiche Weise Firewall betreiben (wenn Sie möchten) und es wird in den Protokollen nicht mehr oder weniger deutlich.

Das einzige, was Sie "verstecken", ist die Beziehung zwischen dem SSH-Server und dem Webserver und, es sei denn Wenn Sie ein sehr schlechtes Verfahren zum Abrufen von Kontonamen haben, sollte dies keine Rolle spielen.

Wenn Sie jedoch ein dediziertes Verwaltungsnetzwerk verwenden, ist dies eine andere Sache: Für ein solches Netzwerk können alle Verbindungen erforderlich sein Durchlaufen Sie eine sichere Authentifizierungsphase und legen Sie der Verbindungspartei zusätzliche Einschränkungen auf (Sie können beispielsweise verlangen, dass sie physisch mit dem Netzwerk verbunden sind, oder Sie müssen ein VPN durchlaufen, für das 2FA erforderlich ist, und sicherstellen, dass Ihr Client dies ist "sauber").

Sie haben grundsätzlich Recht. Es ist Verschleierung. Die Verschleierung ist nicht wertlos, aber Sie sollten sich nicht darauf verlassen.

Die erste Antwort ist übrigens richtig, dass es eine gute Praxis ist, Verwaltungsdienste wie SSH in einem separaten Netzwerk zu hosten (dh nicht im Internet).

Es ist ein bisschen so, als würde man SSH an einen anderen Port verschieben. Sie verstecken nur etwas (schlecht) und das sollte nicht etwas sein, auf das Sie sich auf die Sicherheit eines Systems verlassen können. Es könnte die Angreifer abschrecken, die wirklich nicht wissen, was sie tun (und sie werden sowieso nicht in ssh geraten, wenn es richtig eingerichtet ist), aber es ist ansonsten nutzlos.

Mit fwknop kann jeder, der nmap verwendet, um nach SSHD zu suchen, nicht einmal erkennen, dass es zuhört - es macht keinen Unterschied, ob er einen Passwort-Cracker gegen SSHD ausführen möchte oder ob er einen 0-Tage-Vorgang hat Exploit.

Ich habe hier einige Hinweise zur Verwendung von fwknop . Ich kann auch ssh in Container hinter NAT ohne extern geöffneten Port einfügen.

Ich nehme an, eine gute Frage wäre, warum Sie überhaupt SSH für das WAN geöffnet haben. ... Wie andere bereits erwähnt haben, ist die Verwaltung über ein privates Netzwerk der Heilige Gral.

Die beste Annäherung (und der Grund, warum ich hier überhaupt antworte) für eine WAN-Verbindung ist ein IP-Wrapper oder ein Firewall-Regelsatz das erlaubt nur SSH von einer bestimmten IP-Adresse. Eine solche Strategie ist ein dedizierter SSH-Server, der nur eine schlüsselbasierte Authentifizierung verwendet (falls erforderlich, von einer beliebigen IP-Adresse), und ein WWW-Server, der nur eingehendes SSH von der IP-Adresse des Servers akzeptiert. Wenn ein Angreifer eine IP-Adresse erraten und dann fälschen muss, um sie zu erhalten, haben Sie eine gute Schutzschicht hinzugefügt. Das könnte eine Anwendung für Ihre 2. IP-Adresse sein ...