Назад | Перейти на главную страницу

Зачем запускать SSH на другом порту

В настоящее время я изучаю установку Kippo SSH. В руководстве сказано, что я должен перенастроить порт SSH с 22 на другой порт (который в данном случае - 3389). Итак, теперь, когда я пытаюсь подключиться к SSH с клиента, он будет подключаться к порту 3389.

Из учебника причина этого в том, что «мы не хотим, чтобы у Kippo был root-доступ».

Мой вопрос в том, какая разница, запуск SSH с порта 22 и порта 3389?

Большинству серверов требуется root-доступ, если вы хотите открывать порты ниже 1024.

Номера портов TCP / IP ниже 1024 являются особенными, поскольку обычным пользователям не разрешается запускать на них серверы. Это мера безопасности, поскольку, если вы подключаетесь к службе на одном из этих портов, вы можете быть уверены, что у вас есть настоящая вещь, а не подделка, которую какой-то хакер поставил для вас.

Видеть: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

В чем разница между SSH-портом 22 и 3389?

Для привязки к порту ниже 1024 (привилегированный порт) процесс должен иметь root-доступ. При привязке к 3389 root-доступ не требуется.

Одна из причин, по которой я это видел, - уменьшить количество спама в журналах от сканеров паролей. Тогда, если кто-то пытается подобрать пароли, вы знаете, что это целенаправленная попытка, а не проезд.

Перенаправляя SSH на нестандартный порт - вы усложняете жизнь хакеру - потому что они не будут на 100% уверены, какой порт вы используете для доступа к вашей системе.

Порт 22 - это порт по умолчанию, как вы знаете. Но если вы изменили это на нестандартный порт ... Теперь мне нужно пойти и выполнить сканирование портов с помощью Nmap или другого инструмента, чтобы попытаться определить, где сейчас находится ssh-сервер слушание - это увеличивает шансы вашей IDS (системы обнаружения вторжений) обнаруживать этот тип злонамеренного поведения - и может позволить вам начать принимать контрмеры (например, отрицать IP-адрес цели).

Хотя это правда, что СОЗДАЙТЕ порт прослушивания ниже 1024 вам нужен root-доступ - sshd (демон ssh [сервер]) будет запущен во время загрузки, и это само по себе не остановит доступ пользователей Priv / non-Priv к процессу ssh.

Если вы хотите остановить ssh для root - а это всегда хорошо остановиться. Затем ssh.config (он немного меняется в своем имени в зависимости от используемой ОС - посмотрите, однако, в / etc / ssh /)

Значение, контролирующее, может ли учетная запись root войти в систему, -

#PermitRootLogin no

Это значение и не номер порта - который, кстати, настраивается с использованием такого значения, как

#Port 22

Есть как ограничить.

Ssh - фантастический, гибкий и безопасный механизм связи, но только при правильном понимании и использовании.

В общем, есть две основные причины, по которым кто-то может захотеть запустить SSH-прослушивание на высоком порту:

  • Поскольку это не «стандартный» порт, случайные попытки взлома (ботнеты) с меньшей вероятностью подключатся к нему.
  • Если номер порта превышает 1024, демон SSH имеет на одну «привилегию root» меньше, чем ему нужно доверять.

Кроме того, если устройство NAT находится перед несколькими серверами, на которых запущен SSH, оно не может сопоставить порт 22 со всеми из них, поэтому в этом случае его можно настроить, например, для перенаправления внешнего порта 10022 на внутреннюю службу 192.0.2.10. : 22 и внешний порт с 11022 по 192.0.2.11:22.

Однако в случае Kippo вы устанавливаете «приманку SSH», программу, которая должна смотрю как командная строка SSH в пригодной для использования системе, но на самом деле отвечает медленно и не делает ничего полезного. Вы хотите запустить это как на обычном порте SSH (22), так и на часто используемом высоком порте (2222); на самом деле проще запустить его как пользователя на высоком порту, а затем использовать iptables для перенаправления низкого порта на высокий порт на том же хосте. Также можно использовать netcat (nc) или xinetd, чтобы настроить перенаправление.

Чтобы Kippo мог прослушивать порт с низким уровнем доступа (напрямую или через перенаправление), обычный системный демон SSH уже не может прослушивать его. Более того, чтобы сделать вашу приманку более правдоподобной, вы не хотите, чтобы системный демон слушал другой «общий» открытый порт.

С точки зрения безопасности было бы наиболее эффективно бросить кости, чтобы выбрать этот альтернативный порт, но RDP вряд ли будет прослушивать типичный сервер Linux, поэтому, если вы уже помните этот номер порта, с ним может быть интересно работать. Другой "интересный" выбор может быть что-то вроде 5190 (AOL) или 1214 (KaZAA).