SSH用ポート番号を変更しておくと良い？

最終更新日 2023年09月07日

SSHのセキュリティを高めるためのハウツー (1/2) - ITmedia エンタープライズ には、以下のとおり書かれています。(この記事の公開年月日は2007年4月5日)

　SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、（nmapを含め）たいていのポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更しておくのが賢明だ。

もうやめて、無意味なセキュリティ対策３つ：エンタープライズ系エンジニアの小話：オルタナティブ・ブログ には、SSHについては書かれていませんが、ポート番号の変更について、以下のとおり書かれています。(この記事の公開年月日は2016年3月30日)

これをやる気持ちは非常にわかります。

でも、ポートスキャンする時はターゲットのプロトコルを決めてやるので、特定のパケットを送りつけた後のレスポンスを見てどのポートがどのプロトコルに割り当てられているか大体わかります。

ポートを変えることで数秒〜数分の時間稼ぎになるかもしれませんが、所詮その程度。

手軽にできるのはFirewallのポートスキャンのブロックを有効にすることと、IPアドレス制限の組み合わせぐらいでしょうか。

以上いろいろな記事を見てきましたが、SSH用のポートを1024以上の番号に変更しても、ポートスキャンによりどのポート番号かわからなくなるとは限らないようです。

SSH用のポート番号は特定されてしまうことを前提にして、セキュリティ対策を行っておくことが重要と考えられます。

先に紹介した記事を見ると、SSH用のポート番号変更は全く無意味ではないようですので、変更しておくのもありだと思います。

キャンペーン情報(PR)
マウスコンピューター ・オータムセール 最大50,000円OFF (10月9日迄) DELL ・今週のおすすめ製品 対象製品が特別価格でお買い得 (キャンペーン実施中) パソコン工房 ・決算セール セール対象BTOパソコン最大55,000円OFF (10月1日迄)