Po co uruchamiać SSH na innym porcie

31

Obecnie uczę się o instalacji Kippo SSH. Z samouczka napisano, że powinienem ponownie skonfigurować port SSH z 22 na inny port (co w tym przypadku 3389). Więc teraz, ilekroć spróbuję SSH od klienta, połączy się z portem 3389.

Z samouczka wynika to z tego, że „nie chcemy, aby Kippo miał dostęp do roota”.

Moje pytanie brzmi: jaka to różnica w działaniu SSH z portu 22 w porównaniu z portem 3389?

ssh Adam
źródło
8
W SSH nie ma koncepcji przekierowania, więc wydaje mi się trochę niejasne, o co pytasz. (Nie wiem, czy dzieje się tak dlatego, że samouczek, który obserwowałeś, jest niejasny, czy też dlatego, że pominąłeś niektóre istotne informacje podczas pisania pytania.)
kasperd
4
Nie jest to odpowiedź, ale warto wiedzieć: port TCP 3389 jest często używany do RDP. Być może wybrano 3389, aby spróbować znaleźć osoby skanujące w poszukiwaniu zdalnego dostępu.
TOOGAM
Powiązane: Czy powinienem zmienić domyślny port SSH na serwerach Linux?
Przywróć Monikę - M. Schröder
Który poradnik gapisz ... ten jeden czy ten lub coś innego?
David
@david skorzystałem z tego samouczka youtube.com/watch?v=OyBiIjrVXgk
Adam

Odpowiedzi:

52

Większość serwerów wymaga dostępu do konta root, jeśli chcesz otworzyć porty niższe niż 1024.

Numery portów TCP / IP poniżej 1024 są wyjątkowe, ponieważ normalni użytkownicy nie mogą na nich uruchamiać serwerów. Jest to zabezpieczenie, ponieważ jeśli łączysz się z usługą na jednym z tych portów, możesz być całkiem pewien, że masz prawdziwą rzecz, a nie podróbkę, którą wymyślił dla ciebie jakiś haker.

Zobacz: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

Thorchy
źródło
1
Wydaje
29

Jaką różnicę ma działanie SSH z portu 22 w porównaniu z portem 3389?

Aby połączyć się z portem poniżej 1024 (port uprzywilejowany), proces musi mieć dostęp do konta root. Utworzenie powiązania z dostępem do katalogu głównego 3389 nie jest wymagane.

user9517 obsługuje GoFundMonica
źródło
21

Jednym z powodów, dla których widziałem to, jest zmniejszenie spamu z dzienników ze skanerów haseł. Więc jeśli ktoś próbuje brutalnie wymusić hasła, wiesz, że jest to próba ukierunkowana, a nie jazda.

Dewi Morgan
źródło
8

Przekierowując SSH na niestandardowy port - utrudniasz hakerom życie - ponieważ nie będą w 100% pewni, którego portu używasz do uzyskania dostępu do systemu.

Port 22 - jest to domyślny port, jak wiadomo. Ale jeśli zmieniłeś to na niestandardowy port ... Teraz muszę przejść i przeprowadzić skanowanie portów za pomocą Nmapa lub innego narzędzia, aby spróbować wykryć, gdzie serwer ssh nasłuchuje - zwiększa to szanse Twój system wykrywania włamań (IDS) w celu wykrycia tego rodzaju złośliwych zachowań - i może pozwolić Ci na podjęcie środków zaradczych (takich jak odmowa adresu IP celu).

Chociaż prawdą jest, że do TWORZENIE port odsłuchu poniżej 1024 potrzebny jest dostęp root - z sshd (demon ssh [serwer]) zostaną uruchamiany podczas startu systemu, a że sam nie zatrzyma priv / non-priv użytkownikom dostęp do proces ssh.

Jeśli chcesz zatrzymać ssh dla roota - i zawsze dobrze jest przestać. Następnie ssh.config (zmienia się nieco w nazwie w zależności od używanego systemu operacyjnego - patrz jednak w / etc / ssh /)

Wartością kontrolującą, czy konto root może się zalogować, jest 

#PermitRootLogin no

Ta wartość, a nie numer portu - który, nawiasem mówiąc, jest konfigurowany przy użyciu wartości takiej jak

#Port 22

Jest jak ograniczyć.

Ssh jest fantastycznym, elastycznym i bezpiecznym mechanizmem komunikacji - ale tylko pod warunkiem, że jest dobrze zrozumiany i używany.

Tim Seed
źródło
Istnieje różnica między ssh, która pozwala zalogować się jako root, a sam demon ssh, który potrzebuje dostępu do konta root, aby mógł otworzyć uprzywilejowany port. Pytanie dotyczy drugiego z tych dwóch, a nie pierwszego.
Mike Scott
3

Zasadniczo istnieją dwa główne powody, dla których ktoś może chcieć uruchomić SSH nasłuchując na wysokim porcie:

  • Ponieważ nie jest to „standardowy” port, przypadkowe próby włamania (botnety) rzadziej się z nim łączą
  • Jeśli numer portu jest większy niż 1024, demon SSH ma jeden „przywilej rootowania”, któremu należy zaufać

Ponadto, jeśli urządzenie NAT znajduje się przed kilkoma serwerami z uruchomionym SSH, nie może mapować portu 22 na wszystkie z nich, więc w takim przypadku można skonfigurować na przykład przekierowanie portu zewnętrznego 10022 do usługi wewnętrznej 192.0.2.10 : 22 i port zewnętrzny od 11022 do 192.0.2.11:22.

Jednak w przypadku Kippo instalujesz „honeypot SSH”, program, który powinien wyglądać jak wiersz poleceń SSH w użytecznym systemie, ale faktycznie odpowiada powoli i nie robi nic pożytecznego. Chcesz uruchomić to zarówno na zwykłym porcie SSH (22), jak i na często używanym wysokim porcie (2222); w rzeczywistości łatwiej jest uruchomić go jako użytkownika na wysokim porcie, a następnie użyć iptablesdo przekierowania niskiego portu do wysokiego portu na tym samym hoście. Możliwe jest również użycie netcat ( nc) lub xinetd do skonfigurowania przekierowania.

Aby Kippo nasłuchiwał na niskim porcie (bezpośrednio lub poprzez przekierowanie), zwykły systemowy demon SSH nie może już tam słuchać. Ponadto, aby uczynić swój plaster miodu bardziej wiarygodnym, nie chcesz, aby demon systemowy nasłuchiwał na innym „wspólnym” otwartym porcie.

Z punktu widzenia bezpieczeństwa najskuteczniejszym byłoby rzucić kostką, aby wybrać ten alternatywny port, ale RDP raczej nie będzie nasłuchiwał na typowym serwerze Linux, więc jeśli już pamiętasz ten numer portu, fajnie byłoby z nim pracować. Innymi „interesującymi” wyborami mogą być coś w rodzaju 5190 (AOL) lub 1214 (KaZAA).

David
źródło
1
Nie zdając sobie sprawy z tego, czym jest Kippo (lub nie spojrzał na niego), nie miało sensu, dlaczego demon ssh nie byłby rootem: jeśli chce się uwierzytelnić jak każdy użytkownik, musi zachować pewne uprawnienia, aby stać się innym użytkownikiem. Ale ta odpowiedź wyjaśnia, dlaczego ważne jest, aby nie była uruchamiana jako root.
chexum