SSH'yi neden farklı bir bağlantı noktasında çalıştırmalısınız?

Şu anda Kippo SSH'yi kurmayı öğreniyorum. Öğreticiden SSH portunu 22'den farklı bir porta yeniden yapılandırmam gerektiğini söyledi (bu durumda 3389). Şimdi ne zaman bir müşteriden SSH'ye çalıştığımda 3389 numaralı bağlantı noktasına bağlanacak.

Öğreticiden, bunun arkasındaki neden "Kippo'nun root erişimine sahip olmasını istemiyoruz" dir.

Sorum şu ki, port 22 ile port 3389 arasındaki SSH ile çalışan nedir?

1024'ten düşük bağlantı noktaları açmak istiyorsanız çoğu sunucu kök erişimi gerektirir.

1024'ün altındaki TCP / IP bağlantı noktası numaraları, normal kullanıcıların kendilerine sunucu çalıştırmasına izin verilmemesi nedeniyle özeldir. Bu bir güvenlik özelliğidir, çünkü bu bağlantı noktalarından birindeki bir servise bağlanırsanız, gerçek bir şey olduğundan emin olabilirsiniz ve bazı bilgisayar korsanlarının sizin için hazırladığı sahte değil.

Bakınız: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

SSH'nin 22 numaralı bağlantı noktasından 3389 numaralı bağlantı noktasından çalışmasını ne fark eder?

1024'ün altındaki bir bağlantı noktasına (ayrıcalıklı bir bağlantı noktası) bağlanmak için bir işlemin kök erişimine sahip olması gerekir. Bunu 3389'a bağlayarak root erişimi gerekli değildir.

Bunu yaptığım sebeplerden biri, günlük spam'lerini parola tarayıcılardan azaltmak. O zaman birisi şifreleri zorlamaya çalışıyorsa, bunun bir araba sürmek yerine hedefe yönelik bir girişim olduğunu biliyorsunuzdur.

SSH'yi standart olmayan bir bağlantı noktasına yönlendirerek - bir bilgisayar korsanının hayatını zorlaştırıyorsunuz - çünkü sisteminize erişmek için hangi bağlantı noktasını kullandığınızdan% 100 emin olamayacaklar.

Port 22 - bildiğiniz gibi varsayılan porttur. Ancak bunu standart olmayan bir bağlantı noktasına değiştirdiyseniz ... Şimdi, ssh sunucusunun şu anda nerede dinlediğini tespit etmek ve denemek için Nmap veya başka bir aracı kullanarak bir port taraması yapmam gerekiyor - bu, IDS'niz (İzinsiz Giriş Tespit Sistemi) bu tür kötü niyetli davranışları tespit etme - ve karşı önlem almaya başlamanıza izin verebilir (örneğin, hedefin IP adresini reddetme gibi).

O kadar doğrudur iken CREATE 1024 altında bir dinleme portu kök erişim ihtiyacı - sshd (SSH cini [sunucu]) boot zamanında başlamış olacaktır ve bu tek başına erişmesini priv / olmayan priv kullanıcıların durmayacak ssh işlemi.

Kök için ssh'yi durdurmak istiyorsanız - ve bu her zaman durdurmak için iyi bir şeydir. Daha sonra ssh.config (Kullanılan işletim sistemine bağlı olarak adında bir miktar değişiklik gösterir - ancak / etc / ssh / dizinine bakın)

Bir kök hesabın giriş yapıp yapamayacağını kontrol eden değer

#PermitRootLogin no

Bu değer Port numarası değil - bu arada bir değer kullanılarak yapılandırılır

#Port 22

Kısıtlama nasıl yapılır.

Ssh fantastik, esnek ve güvenli bir iletişim mekanizmasıdır - ancak doğru bir şekilde anlaşılması ve kullanılması durumunda.

Genel olarak, birisinin SSH'yi yüksek bir bağlantı noktasını dinleyerek çalıştırmak istemesinin iki nedeni vardır:

• Bu "standart" bağlantı noktası olmadığı için, rastgele girişimlerin (botnet'ler) buna bağlanma olasılığı daha düşüktür
• Bağlantı noktası numarası 1024'ün üzerindeyse, SSH arka planında daha az güvenilen bir "kök ayrıcalık" var.

Ayrıca, eğer bir NAT cihazı SSH çalıştıran birkaç sunucunun önüne oturursa, port 22'yi hepsine eşleyemez, bu durumda, örneğin harici port 10022'yi dahili servise yönlendirmek üzere yapılandırılabilir, örneğin 192.0.2.10 : 22 ve harici bağlantı noktası 11022 ila 192.0.2.11:22.

Ancak, Kippo söz konusu olduğunda, kurduğunuz şey "SSH bataklığı" dır, kullanılabilir bir sistemdeki SSH komut satırı gibi görünmesi beklenen, ancak gerçekten yavaş yanıt veren ve yararlı hiçbir şey yapmayan bir programdır . Bunu hem normal SSH portunda (22) hem de sık kullanılan yüksek portta (2222) çalıştırmak istersiniz; Aslında, onu yüksek bağlantı noktasında bir kullanıcı olarak çalıştırmak daha kolaydır ve daha sonra iptablesdüşük bağlantı noktasını aynı ana bilgisayardaki yüksek bağlantı noktasına yönlendirmek için kullanın . ncBir yönlendirme ayarlamak için netcat ( ) veya xinetd kullanmak da mümkündür .

Kippo'nun düşük limanda (doğrudan veya bir yönlendirme aracılığıyla) dinlemesi için, normal sistem SSH arka plan programı zaten dinleyemiyor. Ayrıca, bal küpünüzü daha inandırıcı hale getirmek için, sistemin arka plandaki başka bir "ortak" açık limanda dinlemesini istemezsiniz.

Bir güvenlik açısından, bu alternatif portu seçmek için zar atmak en etkili olacaktır, ancak RDP tipik bir Linux sunucusunda dinleme yapmak pek mümkün değildir; Diğer "ilginç" seçenekler 5190 (AOL) veya 1214 (KaZAA) gibi bir şey olabilir.