SELinuxは古いSSHポートラベルを削除または残しますか?
私は この(基本的な)セキュリティガイド に従って、サーバーのSSHポートを別のものに変更しています。
それは言う:
$ semanage port -a -t ssh_port_t -p tcp 2345 #Change me
...これは、ポート2345の上に新しいラベルを追加して、これがSSHに関連していること、およびSSHプロセスがこのポートにアクセスできることを示します。
私を悩ませているのは、これが古いポート22のラベルを削除しないことです。
古いラベルをそのままにしておく方が安全ですか、それとも削除する方が安全ですか?ポートのデフォルト設定が範囲内にあるかどうかわかりません限られた、または限られたスペース、そして私はこれが問題になるかもしれないと思います。
私が間違っている場合は訂正してください。ただし、古いポートを削除するコマンドは次のとおりです。
# semanage port -d -p tcp 22
ポート22からポートタイプラベルを削除する重要な理由はありません(また、sshサーバーを別のポートに再配置しても、必ずしも安全性が向上するわけではありません)。ラベルを削除すると、sshdはポート22にバインドして、接続をリッスンできなくなります。