Зачем запускать SSH на другом порту

В настоящее время я учусь устанавливать Kippo SSH. Из учебника сказано, что я должен перенастроить порт SSH с 22 на другой порт (который в данном случае 3389). Поэтому теперь, когда я пытаюсь подключиться к SSH с клиента, он подключается к порту 3389.

Исходя из этого руководства, причина в том, что «мы не хотим, чтобы у Kippo был root-доступ».

Мой вопрос в том, какая разница, работает ли SSH с порта 22 против порта 3389?

Большинству серверов требуется root-доступ, если вы хотите открыть порты ниже 1024.

Номера портов TCP / IP ниже 1024 отличаются тем, что обычные пользователи не могут запускать на них серверы. Это особенность безопасности: если вы подключаетесь к сервису через один из этих портов, вы можете быть уверены, что у вас есть реальная вещь, а не подделка, которую выложил какой-то хакер.

См .: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html.

Чем отличается запуск SSH от порта 22 от порта 3389?

Для привязки к порту ниже 1024 (привилегированный порт) процесс должен иметь root-доступ. При его привязке к 3389 root-доступ не требуется.

Одна из причин, по которой я это сделал, - уменьшить количество спама в журналах от сканеров паролей. Затем, если кто-то пытается взломать пароли, вы знаете, что это целенаправленная попытка, а не диск-драйв.

Перенаправляя SSH на нестандартный порт - вы усложняете жизнь хакерам - потому что они не будут на 100% уверены, какой порт вы используете для доступа к вашей системе.

Порт 22 - это порт по умолчанию, как вы знаете. Но если вы изменили это на нестандартный порт ... Теперь мне нужно пойти и выполнить сканирование портов с помощью Nmap или другого инструмента, чтобы попытаться определить, где теперь слушает ssh-сервер - это увеличивает шансы на Ваша IDS (Система обнаружения вторжений) обнаруживает этот тип злонамеренного поведения - и может позволить вам начать принимать контрмеры (например, запретить IP-адрес цели).

Хотя это правда, что для СОЗДАНИЯ прослушивающего порта ниже 1024 вам нужен доступ с правами root - sshd (демон ssh [сервер]) будет запущен во время загрузки, и это само по себе не остановит привилегированных / непривилегированных пользователей от доступа к SSH процесс.

Если вы хотите остановить ssh для root - это всегда хорошо. Затем ssh.config (имя немного меняется в зависимости от используемой ОС - посмотрите, однако, в / etc / ssh /)

Значение, которое контролирует возможность входа в систему с учетной записью root:

#PermitRootLogin no

Это значение, а не номер порта, который, кстати, настраивается с использованием такого значения, как

#Port 22

Это как ограничить.

Ssh - это фантастический, гибкий и безопасный механизм связи, но только если его правильно понять и использовать.

В общем, есть две основные причины, по которым кто-то может захотеть запустить прослушивание SSH на высоком порту:

• Поскольку это не «стандартный» порт, случайные попытки взлома (бот-сети) с меньшей вероятностью подключатся к нему.
• Если номер порта превышает 1024, у демона SSH меньше «привилегии root», которому нужно доверять

Кроме того, если устройство NAT находится перед несколькими серверами, работающими по SSH, оно не может сопоставить порт 22 со всеми из них, поэтому в этом случае его можно настроить, например, перенаправить внешний порт 10022 на внутреннюю службу 192.0.2.10. : 22 и внешний порт от 11022 до 192.0.2.11:22.

Однако в случае с Kippo вы устанавливаете «приманку SSH», программу, которая должна выглядеть как командная строка SSH в используемой системе, но на самом деле реагирует медленно и не делает ничего полезного. Вы хотите запустить его как на обычном порту SSH (22), так и на часто используемом высоком порту (2222); на самом деле его проще запустить как пользователь на старшем порту, а затем использовать iptablesдля перенаправления нижнего порта на верхний порт того же хоста. Также можно использовать netcat ( nc) или xinetd для настройки перенаправления.

Чтобы Kippo мог прослушивать низкий порт (напрямую или через перенаправление), обычный системный демон SSH уже не может прослушивать там. Кроме того, чтобы сделать вашу приманку более правдоподобной, вы не хотите, чтобы системный демон прослушивал другой «общий» открытый порт.

С точки зрения безопасности было бы наиболее эффективно бросать кубики, чтобы выбрать этот альтернативный порт, но RDP вряд ли будет прослушивать типичный сервер Linux, поэтому, если вы уже помните этот номер порта, с ним было бы интересно работать. Другими «интересными» вариантами могут быть что-то вроде 5190 (AOL) или 1214 (KaZAA).