Frage Warum sollte SSH auf einem anderen Port ausgeführt werden?


Ich lerne gerade über die Installation von Kippo SSH. Aus dem Tutorial hieß es, dass ich den SSH-Port von 22 auf einen anderen Port (in diesem Fall 3389) umkonfigurieren sollte. So, jetzt, wenn ich versuche, SSH von einem Client, wird es eine Verbindung zu Port 3389 herstellen.

Aus dem Tutorial ist der Grund dafür, dass "wir nicht möchten, dass Kippo Root-Zugriff hat".

Meine Frage ist, welchen Unterschied macht es SSH von Port 22 gegen Port 3389 laufen zu lassen?


30
2018-01-14 15:50


Ursprung


Es gibt kein Konzept der Umleitung in SSH, daher finde ich ein wenig unklar, worum es sich handelt. (Ich weiß nicht, ob das daran liegt, dass das Tutorial, dem Sie gefolgt sind, unklar ist, oder wenn Sie einige wesentliche Informationen beim Schreiben der Frage weggelassen haben.) - kasperd
Keine Antwort, aber wissenswert: TCP Port 3389 wird oft für RDP verwendet. Vielleicht wurde 3389 ausgewählt, um zu versuchen, von Leuten gefunden zu werden, die nach Fernzugriff scannen. - TOOGAM
Verbunden: Sollte ich den Standard-SSH-Port auf Linux-Servern ändern? - Martin Schröder
Welches Tutorial betrachtest du? dieses oder dieses oder etwas anderes? - david
@david Ich habe dieses Tutorial benutzt youtube.com/watch?v=OyBiIjrVXgk - Adam


Antworten:


Die meisten Server benötigen Root-Zugriff, wenn Sie Ports unter 1024 öffnen möchten.

Die TCP / IP-Portnummern unter 1024 sind insofern speziell, als normale Benutzer keine Server auf ihnen ausführen dürfen. Dies ist ein Sicherheitsmerkmal: Wenn Sie sich mit einem dieser Ports verbinden, können Sie ziemlich sicher sein, dass Sie das echte Ding haben, und nicht eine Fälschung, die ein Hacker für Sie aufgestellt hat.

Sehen: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html


51
2018-01-14 15:59



Ich denke, diese Frage bezieht sich gut auf diese Antwort: superuser.com/questions/710253/ ... (Denn nach dem Lesen der Antwort werden sich die Leute wahrscheinlich selbst diese Frage stellen) - Score_Under


Welchen Unterschied macht das Ausführen von SSH von Port 22 gegenüber Port 3389?

Um an einen Port unter 1024 (ein privilegierter Port) zu binden, muss ein Prozess Root-Zugriff haben. Durch die Bindung an 3389 ist kein Root-Zugriff erforderlich.


28
2018-01-14 15:59





Einer der Gründe, aus denen ich dies gesehen habe, ist die Reduzierung von Log-Spam durch Passwort-Scanner. Wenn jemand versucht, Passwörter zu manipulieren, wissen Sie, dass es sich eher um einen gezielten Versuch handelt als um einen Drive-By.


20
2018-01-14 20:16





Durch die Umleitung von SSH auf einen Nicht-Standard-Port - machen Sie das Leben eines Hackers schwieriger - weil Sie nicht 100% ig sicher sind, welchen Port Sie für den Zugriff auf Ihr System verwenden.

Port 22 - ist der Standardport, wie Sie wissen. Aber wenn Sie dies auf einen Nicht-Standard-Port geändert haben, muss ich jetzt einen Port-Scan mit Nmap oder einem anderen Tool durchführen, um zu versuchen, festzustellen, wo sich der SSH-Server jetzt befindet Hören  - Dies erhöht die Wahrscheinlichkeit, dass Ihr IDS (Intrusion Detection System) diese Art von bösartigem Verhalten erkennt - und Sie können damit beginnen, Gegenmaßnahmen zu ergreifen (z. B. die IP-Adresse des Ziels zu verweigern).

Es stimmt zwar, dass ERSTELLEN Ein Abhörport unter 1024 benötigt root access - das sshd (Der ssh-Daemon [server]) wurde beim Booten gestartet, und das alleine wird nicht verhindern, dass private / nicht-priv-Benutzer auf den ssh-Prozess zugreifen.

Sollten Sie ssh für root stoppen wollen - und das ist immer eine gute Sache zu stoppen. Dann die ssh.config (Es ändert sich ein wenig in seinem Namen abhängig vom verwendeten Betriebssystem - schau aber in / etc / ssh /)

Der Wert, der steuert, ob sich ein root-Konto anmelden kann, ist

#PermitRootLogin no

Dieser Wert und nicht die Portnummer - die übrigens mit einem Wert wie

#Port 22

Wie kann man einschränken?

Ssh ist ein fantastischer, flexibler und sicherer Kommunikationsmechanismus - aber nur, wenn er richtig verstanden und verwendet wird.


7
2018-01-15 08:50



Es gibt einen Unterschied zwischen ssh, so dass Sie sich als root anmelden können, und dem ssh-Daemon, der selbst Root-Zugriff benötigt, um einen privilegierten Port zu öffnen. Die Frage bezieht sich auf den zweiten, nicht auf den ersten. - Mike Scott


Im Allgemeinen gibt es zwei Hauptgründe, warum jemand SSH auf einem hohen Port abhören möchte:

  • Da es sich nicht um den "Standard" -Port handelt, sind zufällige Einbruchsversuche (Botnetze) weniger wahrscheinlich
  • Wenn die Portnummer über 1024 liegt, hat der SSH-Daemon eine "Root-Berechtigung" weniger, der er vertraut werden muss

Wenn sich ein NAT-Gerät vor mehreren Servern befindet, auf denen SSH ausgeführt wird, kann es außerdem Port 22 nicht allen zuordnen. In diesem Fall kann es beispielsweise so konfiguriert werden, dass der externe Port 10022 zum internen Dienst 192.0.2.10 umgeleitet wird : 22 und externer Port 11022 bis 192.0.2.11:22.

Im Fall von Kippo installieren Sie jedoch einen "SSH-Honeypot", ein Programm, das dazu gedacht ist aussehen Wie eine SSH-Befehlszeile auf einem brauchbaren System, reagiert aber langsam und tut nichts nützliches. Sie möchten das sowohl auf dem normalen SSH-Port (22) als auch auf einem häufig verwendeten hohen Port (2222) ausführen; Tatsächlich ist es einfacher, es als Benutzer am hohen Port auszuführen und dann zu verwenden iptables um den niedrigen Port zum hohen Port auf demselben Host umzuleiten. Es ist auch möglich, netcat (nc) oder xinetd, um eine Weiterleitung einzurichten.

Damit Kippo auf dem Low-Port (entweder direkt oder über eine Weiterleitung) zuhören kann, kann der reguläre System-SSH-Daemon nicht bereits dort zuhören. Um Ihren Honeypot glaubwürdiger zu machen, wollen Sie nicht, dass der Systemdämon auf einem anderen "gemeinsamen" offenen Port hört.

Aus Sicherheitsgründen wäre es am effektivsten, Würfel zu werfen, um diesen alternativen Port auszuwählen, aber RDP wird wahrscheinlich nicht auf einem typischen Linux-Server zu hören sein. Wenn Sie sich also an diese Portnummer erinnern, könnte es Spaß machen, damit zu arbeiten. Andere "interessante" Entscheidungen könnten etwa 5190 (AOL) oder 1214 (KaZAA) sein.


2
2018-01-16 12:29



Ohne zu wissen (oder nachzuschauen), was Kippo ist, machte es keinen Sinn, warum ein ssh-Daemon das tun würde nicht be root: Wenn es sich als Benutzer authentifizieren möchte, muss es einige Berechtigungen behalten, um ein anderer Benutzer zu werden. Aber diese Antwort macht deutlich, warum es wichtig ist, dass sie nicht als root ausgeführt wird. - chexum