Pourquoi exécuter SSH sur un autre port


31

J'apprends actuellement à installer Kippo SSH. Du tutoriel, il a dit que je devrais reconfigurer le port SSH de 22 à un port différent (qui dans ce cas 3389). Alors maintenant, chaque fois que j'essaie de SSH à partir d'un client, il se connecte au port 3389.

D'après le tutoriel, la raison derrière cela est que "nous ne voulons pas que Kippo ait un accès root".

Ma question étant, quelle différence cela fait-il d'exécuter SSH à partir du port 22 par rapport au port 3389?


8
Il n'y a pas de concept de redirection dans SSH, donc je trouve un peu flou sur ce que vous demandez. (Je ne sais pas si c'est parce que le tutoriel que vous avez suivi n'est pas clair, ou si c'est parce que vous avez omis des informations essentielles lors de la rédaction de la question.)
kasperd

4
Pas une réponse, mais il faut le savoir: le port TCP 3389 est souvent utilisé pour RDP. Peut-être que 3389 a été sélectionné pour essayer d'être trouvé par les personnes qui recherchent l'accès à distance.
TOOGAM


Quel tutoriel regardez-vous ... celui-ci ou celui-ci ou autre chose?
david

@david j'ai utilisé ce tutoriel youtube.com/watch?v=OyBiIjrVXgk
Adam

Réponses:


52

La plupart des serveurs nécessitent un accès root si vous souhaitez ouvrir des ports inférieurs à 1024.

Les numéros de port TCP / IP inférieurs à 1024 sont spéciaux en ce sens que les utilisateurs normaux ne sont pas autorisés à y exécuter des serveurs. C'est une faille de sécurité, en ce sens que si vous vous connectez à un service sur l'un de ces ports, vous pouvez être sûr que vous avez la vraie chose, et non un faux qu'un pirate informatique a mis en place pour vous.

Voir: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html


1
J'ai l'impression que cette question se rapporte bien à cette réponse: superuser.com/questions/710253/… (Parce qu'après avoir lu la réponse, les gens vont probablement se poser cette question)
Score_Under

29

Quelle différence cela fait-il d'exécuter SSH du port 22 au port 3389?

Pour se lier à un port inférieur à 1024 (un port privilégié), un processus doit avoir un accès root. En le liant à 3389, l'accès root n'est pas requis.


21

L'une des raisons pour lesquelles j'ai vu cela, est de réduire le spam de journaux provenant des scanners de mots de passe. Ensuite, si quelqu'un essaie de forcer les mots de passe, vous savez que c'est une tentative ciblée plutôt qu'un driveby.


8

En redirigeant SSH vers un port non standard - vous rendez la vie d'un pirate plus difficile - car ils ne seront pas sûrs à 100% du port que vous utilisez pour accéder à votre système.

Le port 22 - est le port par défaut comme vous le savez. Mais si vous avez changé cela en un port non standard ... Je dois maintenant aller effectuer un scan de port en utilisant Nmap ou un autre outil pour essayer de détecter où le serveur ssh écoute maintenant - cela augmente les chances de votre IDS (Intrusion Detection System) pour détecter ce type de comportement malveillant - et peut vous permettre de commencer à prendre des contre-mesures (telles que le refus de l'adresse IP de la cible).

S'il est vrai que pour CRÉER un port d'écoute inférieur à 1024, vous avez besoin d'un accès root - le sshd (le démon ssh [serveur]) aura été démarré au démarrage, et cela seul n'empêchera pas les utilisateurs privés / non privés d'accéder à la processus ssh.

Si vous souhaitez arrêter ssh pour root - et c'est toujours une bonne chose à arrêter. Puis le ssh.config (il change un peu de nom selon le système d'exploitation utilisé - regardez cependant dans / etc / ssh /)

La valeur qui contrôle si un compte root peut se connecter est

#PermitRootLogin no

Cette valeur et non le numéro de port - qui est d'ailleurs configuré en utilisant une valeur telle que

#Port 22

Est-ce comment restreindre.

Ssh est un mécanisme de communication fantastique, flexible et sécurisé - mais uniquement s'il est compris et utilisé correctement.


Il y a une différence entre ssh vous permettant de vous connecter en tant que root et le démon ssh lui-même ayant besoin d'un accès root pour qu'il puisse ouvrir un port privilégié. La question concerne le deuxième de ces deux, pas le premier.
Mike Scott

3

En général, il y a deux raisons principales pour lesquelles quelqu'un peut vouloir exécuter l'écoute SSH sur un port haut:

  • Puisqu'il ne s'agit pas du port "standard", les tentatives aléatoires d'effraction (réseaux de zombies) sont moins susceptibles de s'y connecter.
  • Si le numéro de port est supérieur à 1024, le démon SSH dispose d'un "privilège root" de moins avec lequel il doit être approuvé

De plus, si un périphérique NAT se trouve devant plusieurs serveurs exécutant SSH, il ne peut pas mapper le port 22 à chacun d'eux, dans ce cas, il peut être configuré, par exemple, pour rediriger le port externe 10022 vers le service interne 192.0.2.10 : 22 et le port externe 11022 à 192.0.2.11:22.

Cependant, dans le cas de Kippo, ce que vous installez est un "pot de miel SSH", un programme qui est censé ressembler à une ligne de commande SSH sur un système utilisable mais qui répond en fait lentement et ne fait rien d'utile. Vous souhaitez l'exécuter à la fois sur le port SSH normal (22) ainsi que sur un port haut fréquemment utilisé (2222); en fait, il est plus facile de l'exécuter en tant qu'utilisateur sur le port haut, puis iptablesde rediriger le port bas vers le port haut sur le même hôte. Il est également possible d'utiliser netcat ( nc) ou xinetd pour configurer une redirection.

Pour que Kippo écoute sur le port bas (directement ou via une redirection), le démon SSH du système normal ne peut pas déjà y écouter. De plus, afin de rendre votre pot de miel plus crédible, vous ne voulez pas que le démon système écoute sur un autre port ouvert "commun".

Du point de vue de la sécurité, il serait plus efficace de lancer des dés pour choisir ce port alternatif, mais RDP est peu susceptible d'écouter sur un serveur Linux typique, donc si vous vous souvenez déjà de ce numéro de port, il pourrait être amusant de travailler avec. D'autres choix «intéressants» pourraient être quelque chose comme 5190 (AOL) ou 1214 (KaZAA).


1
Sans réaliser (ou chercher) ce qu'est Kippo, cela ne comprenait pas pourquoi un démon ssh ne serait pas root: s'il veut s'authentifier en tant qu'utilisateur, il doit conserver certaines autorisations pour devenir un autre utilisateur. Mais cette réponse montre clairement pourquoi il est important de ne pas l'exécuter en tant que root.
chexum
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.