Cấu hình cho nhiều cổng SSH

24

Tôi cần nghe SSH trên hai cổng: 22 để lưu trữ quyền truy cập quản trị viên và 26 để truy cập thường xuyên. Tôi muốn không cho phép đăng nhập root vào ngày 26 và không cho phép tất cả trừ IP nội bộ cho cổng 22. Điều này có thể được thực hiện với các quy tắc iptables, nhưng tôi không biết về cái trước. Có ý kiến gì không?

linux ssh

— CKizing
nguồn

3

root không bao giờ có thể đăng nhập qua ssh; giai đoạn; kết thúc câu chuyện; buck dừng ở đây; không bao giờ. Nếu bạn cần quyền truy cập root thì bạn đăng nhập thông qua người dùng bình thường, sau đó nâng lên bằng suhoặc tốt hơn sudo.

— Chris S

6

Hoàn toàn ổn khi cho phép đăng nhập gốc qua ssh nếu bạn giới hạn chúng trong xác thực khóa hoặc thậm chí xác thực mật khẩu nếu phiên bị giới hạn ở địa chỉ IP mà bạn kiểm soát. "Không bao giờ" quá mạnh.

— EightBitTony

3

Tôi tranh luận rằng có những tình huống có ý nghĩa khi đăng nhập root (ví dụ: hỏng hệ thống tập tin trên phân vùng / home, loại trừ đăng nhập như một người dùng chuẩn). Một điều có thể giúp là đặt PermitRootLogintham số sshd_config thành without-password. Điều này chỉ cho phép đăng nhập root thông qua ssh xảy ra với khóa ssh. Xác thực mật khẩu sẽ không hoạt động.

— ewwhite

Bài viết này có thể hữu ích: everythingsysadmin.com/2010/09/

— Khăn

27

Trong /etc/ssh/sshd_config, thực hiện các thay đổi sau đây. Tìm dòng có nội dung Port 22và thêm một dòng tương tự bên dưới nó.

Port 22
Port 26

Lưu tệp và khởi động lại daemon sshd.

Tôi thực hiện điều này trong các tình huống tôi đã bật ssh cho người dùng nội bộ trên cổng 22, nhưng yêu cầu kết nối bên ngoài trên cổng 2222. Điều này liên kết trình nền ssh với cả hai số cổng.

— ewwite
nguồn

6

Và làm thế nào để bạn hạn chế đăng nhập root vào cổng 22 bây giờ?

— mạo

@faker Tôi đã thấy việc sử dụng các hạn chế tường lửa / mạng để chỉ cung cấp danh sách trắng quyền truy cập của ip vào cổng thông thường 22.

— ThorSummoner

10

Bạn có thể sử dụng -ftùy chọn để sshd để chỉ định tệp cấu hình thay thế. Trong tệp cấu hình, bạn sẽ cần sử dụng

Port 26

Chỉ thị để thay đổi cổng mà sshd đang nghe.

bộ

PermitRootLogin no

để vô hiệu hóa đăng nhập gốc

Sau đó bạn có thể làm một cái gì đó như

/usr/sbin/sshd -f /etc/ssh/sshd_config_port_26

Bạn có thể muốn sao chép tập lệnh khởi động sshd tiêu chuẩn và sửa đổi chúng để bạn có thể bắt đầu dịch vụ cổng 26 khi khởi động.

Tại sao anh làm điều này ?

— Đã đến lúc
nguồn

1

Thay vì có hai tệp cấu hình toàn bộ, nếu bạn muốn các máy chủ về cơ bản giống nhau, thì sẽ không đơn giản và phù hợp hơn khi chỉ cần thêm-o PermitRootLogin yes -p 26

— JamesTheAw đũaDude

3

Giả sử sshd sẽ chạy với tệp cấu hình cụ thể dòng lệnh, sau đó bạn có thể tạo cấu hình thứ hai chạy trên cổng 26 và thực thi tập lệnh khởi động thứ hai có liên quan đến cổng đó.

— uSlackr
nguồn