Tại sao chạy SSH trên một cổng khác

31

Tôi hiện đang tìm hiểu về việc cài đặt Kippo SSH. Từ hướng dẫn, tôi nói rằng tôi nên cấu hình lại cổng SSH từ 22 sang một cổng khác (trong trường hợp này là 3389). Vì vậy, bây giờ bất cứ khi nào tôi cố gắng SSH từ máy khách, nó sẽ kết nối với cổng 3389.

Từ hướng dẫn, lý do đằng sau điều này là "chúng tôi không muốn Kippo có quyền truy cập root".

Câu hỏi của tôi là, nó có gì khác biệt khi chạy SSH từ cổng 22 so với cổng 3389?

ssh

— Ađam
nguồn

8

Không có khái niệm chuyển hướng trong SSH, vì vậy tôi thấy một chút không rõ bạn đang hỏi về cái gì. (Tôi không biết liệu đó có phải là do hướng dẫn bạn đang theo dõi không rõ ràng hay là do bạn đã bỏ qua một số thông tin cần thiết trong khi viết câu hỏi.)

— kasperd

4

Không phải là một câu trả lời, nhưng đáng để biết: cổng TCP 3389 thường được sử dụng cho RDP. Có lẽ 3389 đã được chọn để cố gắng tìm thấy bởi những người đang quét truy cập từ xa.

— TUYỆT VỜI

Liên quan: Tôi có nên thay đổi cổng SSH mặc định trên máy chủ linux không?

— Phục hồi Monica - M. Schröder

Hướng dẫn nào bạn đang xem ... cái này hay cái này hay cái khác?

— david

@david tôi đã sử dụng hướng dẫn này youtube.com/watch?v=OyBiIjrVXgk

— Adam

52

Hầu hết các máy chủ yêu cầu quyền truy cập root nếu bạn muốn mở các cổng thấp hơn 1024.

Số cổng TCP / IP dưới 1024 là đặc biệt ở chỗ người dùng bình thường không được phép chạy máy chủ trên chúng. Đây là một bảo mật, trong đó nếu bạn kết nối với một dịch vụ trên một trong những cổng này, bạn có thể khá chắc chắn rằng bạn có thật, và không phải là giả mà một số tin tặc đã đưa ra cho bạn.

Xem: https://www.w3.org/Daemon/User/Installation/Priv đặc biệtPorts.html

— Ngực
nguồn

1

Tôi cảm thấy câu hỏi này liên quan rất tốt đến câu trả lời này: superuser.com/questions/710253/ (Vì sau khi đọc câu trả lời, mọi người có lẽ sẽ tự hỏi mình câu hỏi đó)

— Score_Under 16/1/2016

29

Có gì khác biệt khi chạy SSH từ cổng 22 so với cổng 3389?

Để liên kết với một cổng dưới 1024 (một cổng đặc quyền), một quá trình phải có quyền truy cập root. Bằng cách làm cho nó liên kết với quyền truy cập root999 là không cần thiết.

— user9517 hỗ trợ GoFundMonica
nguồn

21

Một trong những lý do tôi đã thấy điều này được thực hiện, là để giảm spam đăng nhập từ máy quét mật khẩu. Sau đó, nếu ai đó đang cố gắng đánh cắp mật khẩu, bạn sẽ biết đó là một nỗ lực được nhắm mục tiêu chứ không phải là một ổ đĩa.

— Dewi Morgan
nguồn

8

Bằng cách chuyển hướng SSH sang một cổng không chuẩn - bạn sẽ khiến cuộc sống của hacker trở nên khó khăn hơn - bởi vì họ sẽ không chắc chắn 100% bạn đang sử dụng cổng nào để truy cập hệ thống của mình.

Cổng 22 - là cổng mặc định như bạn biết. Nhưng nếu bạn đã thay đổi điều này thành một cổng không chuẩn ... Bây giờ tôi cần thực hiện quét cổng bằng Nmap hoặc một số công cụ khác để thử và phát hiện nơi máy chủ ssh đang lắng nghe - điều này làm tăng cơ hội IDS (Hệ thống phát hiện xâm nhập) của bạn để phát hiện loại hành vi độc hại này - và có thể cho phép bạn bắt đầu thực hiện các biện pháp đối phó (chẳng hạn như từ chối địa chỉ IP của mục tiêu).

Mặc dù đúng là để TẠO một cổng nghe dưới 1024, bạn cần quyền truy cập root - sshd (ssh daemon [server]) sẽ được bắt đầu khi khởi động và một mình nó sẽ không ngăn người dùng private / non-private truy cập vào quá trình ssh.

Nếu bạn muốn dừng ssh cho root - và đây luôn là một điều tốt để dừng lại. Sau đó, ssh.config (Nó thay đổi một chút trong tên của nó tùy thuộc vào hệ điều hành đang được sử dụng - tuy nhiên hãy tìm trong / etc / ssh /)

Giá trị kiểm soát nếu tài khoản root có thể đăng nhập là

#PermitRootLogin no

Giá trị này chứ không phải số cổng - nhân tiện được cấu hình bằng một giá trị như

#Port 22

Là cách hạn chế.

Ssh là một cơ chế giao tiếp tuyệt vời, linh hoạt và an toàn - nhưng chỉ khi được hiểu và sử dụng đúng cách.

— Hạt giống Tim
nguồn

Có một sự khác biệt giữa ssh cho phép bạn đăng nhập với quyền root và ssh daemon cần quyền truy cập root để nó có thể mở một cổng đặc quyền. Câu hỏi liên quan đến cái thứ hai trong hai cái đó, không phải cái thứ nhất.

— Mike Scott

3

Nói chung, có hai lý do chính khiến ai đó có thể muốn chạy SSH nghe trên một cổng cao:

Vì đó không phải là cổng "tiêu chuẩn", các nỗ lực đột nhập (botnet) ít có khả năng kết nối với nó
Nếu số cổng trên 1024, daemon SSH có một "đặc quyền gốc" ít hơn thì nó cần được tin cậy với

Hơn nữa, nếu một thiết bị NAT ngồi trước một số máy chủ chạy SSH, thì nó không thể ánh xạ cổng 22 tới tất cả chúng, do đó, trong trường hợp đó, nó có thể được định cấu hình để chuyển hướng cổng ngoài 10022 sang dịch vụ nội bộ 192.0.2.10 : 22 và cổng ngoài 11022 đến 192.0.2.11:22.

Tuy nhiên, trong trường hợp của Kippo, thứ bạn đang cài đặt là "SSH honeypot", một chương trình được cho là trông giống như một dòng lệnh SSH trên một hệ thống có thể sử dụng nhưng thực sự phản hồi chậm và không có gì hữu ích. Bạn muốn chạy cả trên cổng SSH thông thường (22) cũng như trên cổng cao được sử dụng thường xuyên (2222); Trên thực tế, việc chạy nó như một người dùng trên cổng cao dễ dàng hơn và sau đó sử dụng iptablesđể chuyển hướng cổng thấp sang cổng cao trên cùng một máy chủ. Cũng có thể sử dụng netcat ( nc) hoặc xinetd để thiết lập chuyển hướng.

Để Kippo nghe trên cổng thấp (trực tiếp hoặc thông qua chuyển hướng), trình nền SSH hệ thống thông thường không thể nghe ở đó. Hơn nữa, để làm cho honeypot của bạn đáng tin hơn, bạn không muốn trình nền hệ thống lắng nghe trên một cổng mở "chung" khác.

Từ quan điểm bảo mật, sẽ hiệu quả nhất khi tung xúc xắc để chọn cổng thay thế đó, nhưng RDP dường như không nghe trên máy chủ Linux thông thường, vì vậy nếu bạn đã nhớ số cổng đó thì có thể rất vui khi làm việc. Các lựa chọn "thú vị" khác có thể là một cái gì đó như 5190 (AOL) hoặc 1214 (KaZAA).

— yêu
nguồn

1

Không nhận ra (hoặc tìm kiếm) Kippo là gì, không hiểu tại sao một ssh daemon sẽ không được root: nếu nó muốn xác thực như bất kỳ người dùng nào, nó phải giữ một số quyền để trở thành người dùng khác. Nhưng câu trả lời này cho thấy rõ tại sao điều quan trọng là nó không được chạy dưới quyền root.

— chexum