Навіщо запускати SSH на іншому порту

Наразі я дізнаюся про встановлення Kippo SSH. У підручнику було сказано, що я повинен перенастроїти порт SSH з 22 на інший порт (що в цьому випадку 3389). Тому тепер, коли я намагаюся SSH від клієнта, він підключатиметься до порту 3389.

У підручнику причина цього полягає в тому, що "ми не хочемо, щоб у Kippo був доступ до кореня".

Моє запитання полягає в тому, яку різницю робить запуск SSH від порту 22 проти порту 3389?

Більшість серверів потребують кореневого доступу, якщо ви хочете відкрити порти нижче 1024.

Номери портів TCP / IP нижче 1024 відрізняються тим, що звичайним користувачам заборонено запускати на них сервери. Це застереження щодо безпеки, оскільки якщо ви підключитесь до сервісу на одному з цих портів, ви можете бути впевнені, що у вас є справжня річ, а не підробка, яку вам придумав якийсь хакер.

Дивіться: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

Яка різниця в тому, що SSH працює від порту 22 проти порту 3389?

Для прив’язки до порту нижче 1024 (привілейований порт) процес повинен мати кореневий доступ. Примусовуючи його прив'язуватися до 3389, кореневий доступ не потрібен.

Однією з причин, чому я це бачив, є зменшення спаму журналу від сканерів паролів. Тоді, якщо хтось намагається виправити паролі, ви знаєте, що це цілеспрямована спроба, а не прохід.

Перенаправляючи SSH на нестандартний порт - ви ускладнюєте життя хакера - адже вони не будуть на 100% впевнені, який порт ви використовуєте для доступу до своєї системи.

Порт 22 - це порт за замовчуванням, як вам відомо. Але якщо ви змінили це на нестандартний порт ... Мені зараз потрібно перейти і здійснити сканування портів за допомогою Nmap або іншого інструменту, щоб спробувати виявити, де зараз слухає ssh-сервер - це збільшує шанси на ваша IDS (система виявлення вторгнень) щодо виявлення цього типу зловмисної поведінки - і може дозволити вам почати вживати контрзаходи (наприклад, відхиляти IP-адресу цілі).

Хоча це правда, що СТВОРИТИ порт для прослуховування нижче 1024, вам потрібен кореневий доступ - sshd (ssh daemon [сервер]) буде запущений під час завантаження, і тільки це не зупинить приватних / неприватних користувачів від доступу. ssh процес.

Якщо ви хочете зупинити ssh для root - і це завжди добре зупинити. Тоді ssh.config (Він трохи змінює свою назву залежно від використовуваної ОС - дивіться, однак, у / etc / ssh /)

Значення, яке контролює, чи може ввійти кореневий рахунок, є

#PermitRootLogin no

Це значення, а не номер порту - яке, до речі, налаштовано за допомогою такого значення, як

#Port 22

Як обмежити.

Ssh - це фантастичний, гнучкий і безпечний механізм зв'язку, але лише за умови правильного розуміння та використання.

Загалом, є дві основні причини, чому хтось може захотіти запускати SSH-прослуховування на високому порті:

• Оскільки це не "стандартний" порт, випадкові спроби вторгнення (ботнетів) рідше підключаються до нього
• Якщо номер порту перевищує 1024, у демона SSH є одна менша «коренева привілей», якій потрібно довіряти

Крім того, якщо NAT-пристрій сидить перед декількома серверами, на яких працює SSH, він не може зіставити порт 22 для всіх, тому в цьому випадку він може бути налаштований, наприклад, для перенаправлення зовнішнього порту 10022 на внутрішнє обслуговування 192.0.2.10 : 22 та зовнішній порт 11022 до 192.0.2.11:22.

Однак у випадку Kippo, що ви встановлюєте, це "SSH honeypot", програма, яка повинна виглядати як командний рядок SSH у користувальній системі, але насправді реагує повільно і не робить нічого корисного. Ви хочете виконати це як на звичайному порту SSH (22), так і на часто використовуваному високому порту (2222); насправді простіше запустити його як користувача на високому порту, а потім використовувати iptablesдля перенаправлення низького порту на високий порт того ж хоста. ncДля налаштування переадресації також можна використовувати netcat ( ) або xinetd.

Для того, щоб Kippo слухав на низькому порту (безпосередньо або через переадресацію), звичайний системний демон SSH вже не може слухати там. Крім того, для того, щоб зробити ваш сотник більш правдоподібним, ви не хочете, щоб системний демон прослуховував на іншому "загальному" відкритому порту.

З точки зору безпеки було б найефективніше котити кістки, щоб вибрати цей альтернативний порт, але RDP навряд чи прослуховує на типовому сервері Linux, тому якщо ви вже пам’ятаєте цей номер порту, з ним може бути весело працювати. Інші "цікаві" варіанти можуть бути на зразок 5190 (AOL) або 1214 (KaZAA).