Я хочу змінити, який порт sshdвикористовує на сервері Mac. Наприклад, скажімо від порту 22 до порту 32.
/etc/sshd_configЗдається, редагування не працює. Хтось знає, як це змінити? Я вважаю за краще метод, сумісний із усіма версіями OSX (принаймні, якнайбільше).
Відповіді:
Кожна попередня відповідь спрацьовує (як підказує google), але вони брудні та неелегантні .
Правильний спосіб змінити порт прослуховування для запущеної служби в Mac OS X - це зробити зміни, виділені клавішами доступними в
ssh.plist
Тож рішення настільки ж просто, як використовувати номер порту замість імені служби.
Уривок із мого відредагованого /System/Library/LaunchDaemons/ssh.plist:
<key>Sockets</key>
<dict>
<key>Listeners</key>
<dict>
<key>SockServiceName</key>
<string>22022</string>
<key>SockFamily</key>
<string>IPv4</string>
<key>Bonjour</key>
<array>
<string>22022</string>
</array>
</dict>
</dict>
Примітка: щоб мати змогу редагувати цей файл на El Capitan, Sierra та, можливо, і майбутніх версіях, вам потрібно відключити SIP (Захист цілісності системи). Див. Як відключити захист цілісності системи (SIP) [...] .
Вищевказане редагування також змусить sshd слухати лише через IPV4.
Після внесення будь-яких змін до ssh.plistфайлу необхідно перезавантажити наступним чином:
sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load /System/Library/LaunchDaemons/ssh.plist
Зауважте, що використання launchctl stop ...та launchctl start ...НЕ буде перезавантажувати цей файл.
Сторінку чоловіка з додатковою інформацією можна знайти, ввівши man launchd.plistабо скориставшись цим посиланням .
Якщо ви хочете, щоб sshd прослуховував додатковий порт, ви можете додати декілька записів до словника Sockets.
Приклад:
<key>Sockets</key>
<dict>
<key>Listeners</key>
<dict>
<key>SockServiceName</key>
<string>ssh</string>
<key>Bonjour</key>
<array>
<string>ssh</string>
<string>sftp-ssh</string>
</array>
</dict>
<key>Listeners2</key>
<dict>
<key>SockServiceName</key>
<string>22022</string>
</dict>
</dict>
/System/Library/LaunchDaemons/ssh.plist
man launchd.plist.
З того, що я читав (і переживав) до цих пір, можна використовувати три основні методи:
Ще один спосіб зробити це, який я, безумовно, віддаю перевагу всім і кожному з цих методів, тому що це дозволяє уникнути возитися з системними файлами Mac OS X, використовуючи socat для переадресації порту 22 на той порт, який ви хочете.
sudo mv ./socat-1.7.3.2.tar.gz /usr/local/bin/socat-1.7.3.2.tar.gz)cd /usr/local/bin)sudo tar -xvzf socat-1.7.3.2.tar.gzcd ./socat-1.7.3.2sudo ./configure && sudo make && sudo make install)sudo socat TCP-LISTEN:2222,reuseaddr,fork TCP:localhost:22)Ви закінчили, і ваші системні файли mac os x залишаються незмінними. Крім того, цей метод працює не тільки на Snow Leopard, але і на всіх версіях Mac OS X, а також на будь-якій машині, на якій може працювати socat.
Останнє, що вам потрібно зробити, якщо ви користуєтесь маршрутизатором / брандмауером, - це включити правильні команди перенаправлення у ваш маршрутизатор / брандмауер.
Крім того, це дозволяє уникнути дебатів у тому, чи метод ssh.plist, метод послуг чи будь-який інший спосіб кращий, елегантніший або гірший за інші.
Ви також можете легко підготувати сценарій, який запускається при запуску, щоб відновити перенаправлення socat під час перезавантаження машини. Розмістіть це в /Library/LaunchDaemons/com.serverfault.sshdredirect.plist:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.serverfault.sshdredirect</string>
<key>KeepAlive</key>
<dict>
<key>NetworkState</key>
<true/>
</dict>
<key>RunAtLoad</key>
<true/>
<key>ProgramArguments</key>
<array>
<string>/usr/local/bin/socat</string>
<string>TCP-LISTEN:2222,reuseaddr,fork</string>
<string>TCP:localhost:22</string>
</array>
</dict>
</plist>Використовуйте sudo launchctl load -w /Library/LaunchDaemons/com.serverfault.sshdredirect.plistдля завантаження. Він автоматично завантажиться на майбутні перезавантаження.
Крім того, ви також можете покращити безпеку, встановивши брандмауер для блокування будь-яких з'єднань зі своїм портом 22 з будь-якого іншого інтерфейсу, ніж loopback (127.0.0.1) та (ii), внести аналогічні зміни у файл sshd.conf для мати ssh слухати лише на петлі.
Насолоджуйтесь.
/etc/servicesфайлу - це погана ідея - це вплине на такі речі, як вхід ключа SSH до ваших облікових записів github або bitbucket, які намагатимуться підключитися до нового порту і вийти з ладу.
sudoдля встановлення. Не слід будувати з підвищеними привілеями.
<key>KeepAlive</key><true/>.
Я не міг бачити це документально ніде належним чином на довільній сторінці, але якщо ви не хочете нічого більше, ніж додати зайвого слухача, ви можете використовувати масив слухачів і мати додатковий набір. Для цього не потрібно редагувати / etc / services, якщо ви використовуєте порт безпосередньо (але не забудьте відкрити порт на брандмауері!)
<key>Listeners</key>
<array>
<dict>
<key>Bonjour</key>
<array>
<string>ssh</string>
<string>sftp-ssh</string>
</array>
<key>SockServiceName</key>
<string>ssh</string>
</dict>
<dict>
<key>SockServiceName</key>
<string>22222</string>
</dict>
</array>
man launchd.plist.
/usr/libexec/sshd-keygen-wrapper(показано в списках нижче) можна запустити інший SSH, ніж зазначено в самому плісті. Якщо ви котите це, воно завжди починається/usr/sbin/sshd.