Masanori Ogino 𓀁 omasanori@mstdn.maud.io

Ed25519に対応してないのにX25519が通る実装もそれはそれでなんなのになるでしょ（TLSは、まあ……）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

分身とは別の撹乱用ギミックとして、明らかにそのサーバーがサービスを提供していないはずがないポート（Webサーバーなら80や443）にSSHのハンドシェイクが来たらSSHサーバーがパケットを受け取るようにするというsslh https://github.com/yrutschle/sslh のようなものもある（私はこの実装をちゃんと読んでないので使っていないけれど、面白いとは思う）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

別の言い方をすると、SSHのポート番号を変えたことが主な安全の根拠となっていて他に何もやっていないというのであればそれは……だけど、他の対策と合わせてどのポートなのか明かさないというのは全体の安全性を少なくとも悪くはしないという趣旨です

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

ポートスキャンの検出はIPSには大体ついてると思いますが、しきい値が高いとスキャンの頻度を工夫されてすり抜けられたり、しきい値が低いと頻繁に警告が鳴ってオペレーターが警告そのものを無視してしまいかねないというような話がSSHポートを分身させる話のスライドに載っていたはず

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

SSH over VPN、2重に暗号化されるのはともかくセキュリティが弱まるわけではないのでまあいいのでは（2重に暗号化されるのが気になるからといってrshをセットアップするほどオーバーヘッドが気になるPC使ってないだろうし）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

@kb10uy あとはfail2banとかIPアドレスによる制限とか、その手のあれこれ

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

@kb10uy 古いSSHクライアントを使ってなければ鍵交換アルゴリズムもX25519やECDHが優先されるようにしたり、(FF)DHのmoduliを十分大きなものだけにしたりできます（先程貼ったMozillaのページに詳しい）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

OpenSSH https://infosec.mozilla.org/guidelines/openssh.html

Mozillaのinfosecチームが自分達のサイト向けに書いたOpenSSHの設定ガイドライン

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

SSH、ポート番号を変更するのは特に問題ないのでしてもいいけれど、鍵交換アルゴリズムや暗号アルゴリズム、認証方法、ログイン可能なユーザーやIPアドレスを制限することの代わりにはならないので全体的にやっていきたいところ

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

Amazon.co.jpでご覧ください XCY Intel Celeron 3205U ベアボーン　1.5GHz Dual-Core NO RAM NO SSD NO WIFI アルミ製　ファンレス静音 放熱性いい　小型　ブラック https://www.amazon.co.jp/dp/B06WGPRRZ2/

これとかEthernetが2ポートあるし良さそう（NICが :realtek: な点をどう考えるか）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

今どきのCeleronにはAES-NIが付いてるものもあるのでVPNを構築したい人にとっても検討の余地がありそう

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

私の場合も作業は1〜2時間で終わったんですが、その後ずっと気分が悪くて終わっていました