En général, il y a deux raisons principales pour lesquelles quelqu'un peut vouloir exécuter l'écoute SSH sur un port haut:
- Puisqu'il ne s'agit pas du port "standard", les tentatives aléatoires d'effraction (réseaux de zombies) sont moins susceptibles de s'y connecter.
- Si le numéro de port est supérieur à 1024, le démon SSH dispose d'un "privilège root" de moins avec lequel il doit être approuvé
De plus, si un périphérique NAT se trouve devant plusieurs serveurs exécutant SSH, il ne peut pas mapper le port 22 à chacun d'eux, dans ce cas, il peut être configuré, par exemple, pour rediriger le port externe 10022 vers le service interne 192.0.2.10 : 22 et le port externe 11022 à 192.0.2.11:22.
Cependant, dans le cas de Kippo, ce que vous installez est un "pot de miel SSH", un programme qui est censé ressembler à une ligne de commande SSH sur un système utilisable mais qui répond en fait lentement et ne fait rien d'utile. Vous souhaitez l'exécuter à la fois sur le port SSH normal (22) ainsi que sur un port haut fréquemment utilisé (2222); en fait, il est plus facile de l'exécuter en tant qu'utilisateur sur le port haut, puis iptables
de rediriger le port bas vers le port haut sur le même hôte. Il est également possible d'utiliser netcat ( nc
) ou xinetd pour configurer une redirection.
Pour que Kippo écoute sur le port bas (directement ou via une redirection), le démon SSH du système normal ne peut pas déjà y écouter. De plus, afin de rendre votre pot de miel plus crédible, vous ne voulez pas que le démon système écoute sur un autre port ouvert "commun".
Du point de vue de la sécurité, il serait plus efficace de lancer des dés pour choisir ce port alternatif, mais RDP est peu susceptible d'écouter sur un serveur Linux typique, donc si vous vous souvenez déjà de ce numéro de port, il pourrait être amusant de travailler avec. D'autres choix «intéressants» pourraient être quelque chose comme 5190 (AOL) ou 1214 (KaZAA).