зміна номера порту - чи все ще можна здогадатися, що там слухають?

1

Я намагаюся дізнатися щось про безпеку сервера.

Я встановив nmap, щоб перевірити відкриті порти сервера.

Тепер я змінив порти за замовчуванням майже на всьому. Тож nmap повідомляє про неправильні назви служб, якими я керую.

Наприклад, ssh я змінив на якийсь випадковий порт, і, схоже, цей порт використовується якоюсь іншою програмою, тому nmap повідомляє, що інша програма.

Я думав, чи все-таки можна визначити, що насправді ssh стоїть за цим відкритим портом? які інструменти для цього? якщо це все-таки можливо, то не має сенсу змінювати стандартні номери портів правильно?

насправді я просто спробував nmap -sV mini.local, і це дало мені версію програми, щоб він правильно визначив SSH на нестандартному порту.

Тож який сенс змінювати порт за замовчуванням #?

administrator

— Геннес
джерело

Не відповідаючи на запитання безпосередньо, але якщо ви ввійшли в систему через ssh або інший доступ до оболонки, ви можете запустити, sudo netstat -lntpі він підкаже, який процес прослуховується на цьому порту і що таке бінарний процес.

— Кевін М

2

Так, іноді можна визначити, що слухає на певному порті. Наприклад, telnetдо вашого "переселеного" ssh:

telnet [your.ip.address] [new-ssh-port-number]

Telnet підключиться, і демон SSH відповість приблизно так:

Спроба xxxx ..
Підключено до xxxx
Символ Escape - '^]'.
SSH-2.0-OpenSSH_4.3

Очевидно, цієї інформації достатньо, щоб зрозуміти, що ssh прослуховує цей порт. Багато інших сервісів (SMTP, POP тощо) також надсилають інформацію про банери. Але не всі служби.

Однак підключення до всіх портів на вашому комп’ютері забирає багато часу, особливо якщо ваш брандмауер налаштований просто відкидати небажані з'єднання. Тому більшість атак є "оптовими": дитина-скрипт пробує порт 22 на 100 000 комп'ютерах і т. Д. Зміна порту за замовчуванням на ssh є корисною тактикою, щоб уникнути цих атак і запобігти заповненню ваших журналів непотрібними попередженнями про ці атаки.

Однак це не реальна безпека, це просто безпека через невідомість. Вам все ще потрібен хороший пароль, а ще краще, ssh daemon, налаштований приймати лише сертифікати, правильно налаштований брандмауер тощо.

— haimg
джерело

0

Зазвичай, telnet надасть вам інформацію про банер або використовує банер nmap

— Сірекс
джерело

0

Наприклад, ssh я змінив на якийсь випадковий порт, і, схоже, цей порт використовується якоюсь іншою програмою, тому nmap повідомляє, що інша програма.

"Загальновідомі номери портів" вказані в / etc / services, цей список базується на списку, що ведеться Інтернетом з присвоєнням номерів (IANA).

тож який сенс змінювати порт за замовчуванням #?

Як сказав Хаймг, це робить життя трохи складніше для дітей, які працюють із сценарієм. На практиці я вважаю, що він вибиває багато "шуму" в моїх журналах SSH (syslog).

— RedGrittyBrick
джерело