為什麼把SSH的埠改成非22是一個壞主意？

雨宫音羽

单手摘月 发表于 2014-1-26 10:15
真想黑的話肯定會全部掃一遍的吧- -

${IPTABLES} -A INPUT -p tcp --dport 3456 -m recent --set  ...

试过用ping开端口 蛋疼

那个文章我也看完了 首先SSH监听在一个非特权端口 如果有人确实已经得到了一个普通用户的shell 是可以看到SSH监听在哪的

如果你想替代SSH监听在那里 你得首先干掉SSH服务 但。。没root权限那是不可能的

退一步说 你监听在那里了 服务器公私钥会改变【默认情况下没root权限你没法读原先SSH服务器的公私密钥】 登录的时候SSH客户端会警告

好吧 再退一步说 我直接改成1024端口以下的其它端口不就完事了【总不可能1024以下所有端口你都用的上吧】

所以 这个作者哪那么多废话 哗众取宠而已

贱人就是矫情

雨宫音羽 发表于 2014-1-26 10:26
试过用ping开端口 蛋疼

那个文章我也看完了 首先SSH监听在一个非特权端口 如果有人确实已经得到了一个普 ...

赞同！！！
废话太多。
爱用哪个就用哪个。。。

木瓜

大婶，你能不能翻译了贴在论坛里。一是我们看不懂英文，二是都1分钟才加载了一半的内容。2分钟了

DOS

大婶，你能不能翻译了贴在论坛里。一是我们看不懂英文，二是都1分钟才加载了一半的内容。2分钟了

总是吵架的猪

有点不太明白 用的翻译看的 机器翻译的真是惨不忍睹

hfhfg

对于有意hack的人，的确是bad idea。但是对于只对22爆破肉鸡的人，完全是good idea。

yywudi

我居然看完了...
反正我觉得这篇文章有几点可以看看：
1，小于1024的端口是系统占用的，如果是一个自定义的大端口比如52214之类来做ssh的，那么恶意程序可以开启并伪装成这个端口来监听你的数据窥伺你的密码   -->这点比较坑，谁能知道你的端口呢？扫一遍？

1. Now, back to SSH: when we start SSH on port 22, we know for a fact that this is done by root or a root-process since no other user could possibly open that port. But what happens when we move SSH to port 2222? This port can be opened without a privileged account, which means I can write a simple script that listens to port 2222 and mimics SSH in order to capture your passwords. And this can easily be done with simple tools commonly available on every linux system/server. So running SSH on a non-privileged port makes it potentially LESS secure, not MORE. You have no way of knowing if you are talking to the real SSH server or not. This reason, and this reason alone makes it that you should NEVER EVER use a non-privileged port for running your SSH server.

复制代码

2，大多数程序会默认ssh是22端口，如果改成其他端口的，可能会有兼容、维护之类的问题
3，如果服务器在防火墙后面，22端口一般而言是默认放行的，如果改成其他的，可能会有网络方面的需要配置，增加麻烦
4，指出：只要做到禁止root登录，禁止密码登录改成ssh key，尽管放心大胆的用22 端口吧~~~
5，最后介绍了一种神奇的方法：按照下面说明的例子来配置iptables，先访问一个随便乱七八糟的端口（啥也没有）来设置一个'portknock' “端口敲门” 的标签，然后再访问22端口，iptables则会检查访问22端口的ip，在过去的60秒内有没有被设置为'portknock' 标签，如果有，好的放你进来，如果没有，直接咔嚓。

1. Iptables has got a very nifty module called “recent”, which allows you to create simple – yet effective – port knocking sequences.
   
2. Take a look at the following example:
   
3. ${IPTABLES} -A INPUT -p tcp --dport 3456 -m recent --set --name portknock
   
4. ${IPTABLES} -A INPUT -p tcp --syn --dport 22 -m recent --rcheck \
   
5.    --seconds 60 --name portknock -j ACCEPT
   
6. ${IPTABLES} -A INPUT -p tcp --syn --dport 22 -j DENY
   
7. What this does, is that as soon as something tries to connect to port 3456 (yes, a non-privileged port, but no problem, nothing is running on it), it will set a flag called “portknock”. Now, when we try to setup a connection to the SSH port, it will check to see if your IP has set a “portknock” flag during the last 60 seconds. If not, it will not accept the connection. And the third line will by default deny any access to SSH together as a failsafe.

复制代码

最后的方法谁可以试试看

hfhfg

yywudi 发表于 2014-1-26 10:13
我居然看完了...
反正我觉得这篇文章有几点可以看看：
1，小于1024的端口是系统占用的，如果是一个自定义的 ...

能把这文章都看完，绝非等闲之辈。

yywudi

单手摘月 发表于 2014-1-26 10:15
真想黑的話肯定會全部掃一遍的吧- -

${IPTABLES} -A INPUT -p tcp --dport 3456 -m recent --set  ...

好像是挺神奇，再连ssh的22 之前，先随便连一个加端口加个tag?那不是变麻烦了？