Door Anoniem: Dat hele zwakke drempeltje gooi je op "uit naam van de veiligheid" en aangezien het geen enkele beveiliging biedt, hooguit in je eigen gedachten, ben je vooral bezig jezelf te misleiden.
Nee, ik werp dat drempeltje niet op uit naam van de veiligheid. Ik denk wel dat het een bescheiden bijdrage levert, maar je mist de essentie: ik heb geen enkele maatregel die ik niet voor een publiek zichtbare poort zou toepassen achterwege gelaten. Dát doe ik uit naam van de veiligheid. En als die maatregelen goed genoeg zijn voor een poort die gewoon zichtbaar is, welk risico kan ik dan lopen door die poort enigzins te verbergen? Dat komt, zoals ik al duidelijk maakte, niet in plaats van andere maatregelen.
Het gevaar dreigt dat je je ermee veilig gaat voelen terwijl je het niet bent, en dat is erger dan niet veilig zijn en dat wel te weten. De kritiek is dus ook vooral tegen die zelfmisleiding gericht.
Ah, het risico van zelfmisleiding en daardoor optredende verslapping van de aandacht. Het probleem is hier niet dat dat optreedt, maar dat jij veronderstelt dat dat optreedt. Het is net andersom: juist omdat ik niet geconfronteerd wordt met duizenden meldingen in logfiles die er eigenlijk niet toe doen is het makkelijker mijn aandacht te houden bij wat er wel toe doet.
Stop alsjeblieft met redeneren vanuit aannames. Je loopt risico als je beveiligingsmaatregelen laat verslappen, niet als je iets erbij doet zonder die te laten verslappen. Je beschouwt het kennelijk als onvermijdelijk dat iemand die een poort verbergt geen oog heeft voor meer essentiële dingen. Da's precies het soort magisch denken waar ik kritiek op heb. Je kijkt niet naar wat er werkelijk gebeurt maar naar ongefundeerde aannames over wat er gebeurt.
En het is (niet alleen zelf-)misleiding als je oproept tot een poortjesdans. Zelfs de zeggens milde vorm die jij hier als toch wel acceptabel probeert te presenteren, onder verwijzing naar al die "verkrampte" mensen die zeggen dat je niet zulke domme dingen moet doen want we weten ondertussen al lang waar het toe leidt, want die zijn maar gemeen dus zo een slecht idee is het jouwe toch nog echt maar niet. Het is de redenering die je de das om doet.
En als de SSH-server erachter nou gewoon goed is geconfigureerd en de software gewoon up-to-date is? Wat blijft er dan over van jouw aannames?
Als jij zonodig ingewikkelde truuks wil uithalen die vooral het jezelf lastiger maken, goed, als jij daar moeite in wil steken dan doe je dat maar op jouw systemen, en dan ben ik blij dat ik er geen gebruiker van ben want al dat gedoe waar je uiteindelijk makkelijk minder dan niets voor koopt blijf ik graag van verschoond.
Het heeft letterlijk twee regels code gekost om deze beveiliging in te bouwen, en het vergt een scriptje van twee regels om binnen te komen. Waar heb je het over?
Als je SSH op een niet-standaard poort zet hoef je maar een kleinigheid aan je ~/.ssh/config toe te voegen en je hoeft die poort nooit meer in te typen, je hebt er geen omkijken meer naar. Je kan zelfs aliasnamen voor servers instellen zodat je niet de hele domeinnaam hoeft in te typen, en ook alle andere opties die je voor de SSH-verbinding naar die machine handig vindt. Het is niet moeilijk.
Maar omdat het in essentie "security by obscurity" is, (en dus nog steeds snake oil) heb je (twee) hele goede redenen het netjes voor je te houden.
Security by obscurity is volgens mij denken dat iets geheim houden zo'n goede bescherming oplevert dat je maatregelen die werkelijk bescherming opleveren achterwege laat. Aangezien ik die niet achterwege laat, en degene die waar het artikel over gaat trouwens ook niet, vind ik dat dit iets wezenlijk anders dan security by obscurity. Jouw aanname dat iets onzichtbaar maken meteen impliceert dat alle nadelen van echte security by obscurity in werking treden is, zoals ik al schreef, magisch denken. Die nadelen treden op als je je beveiliging laat versloffen, niet als je een kleinigheid regelt die geen enkele invloed heeft op hoe die SSH-server zijn authenticatie en encryptie afhandelt, en al evenmin op je SSH-configuratie, en ook niet op het up-to-date houden van je software. Zoals jij redeneert is het alsof het slot van je voordeur spontaan openspringt als je je heg door laat groeien. Lariekoek, da's echt magisch denken.
Het wordt dan ook direct iets anders als je oproept dat maar in z'n algemeenheid met z'n allen te doen. Dan heb je het toch even niet gesnopen en ben je gewoon en plein public alom zichtbaar dom bezig. En dat mag best gezegd worden.
Dan hoop ik het dat je het me niet kwalijk neemt dat ik jouw domheid in redelijk harde bewoordingen heb weersproken.