Perché eseguire SSH su una porta diversa

Attualmente sto imparando sull'installazione di Kippo SSH. Dal tutorial, ha detto che avrei dovuto riconfigurare la porta SSH da 22 a una porta diversa (che in questo caso 3389). Quindi ora ogni volta che provo a SSH da un client, si collegherà alla porta 3389.

Dal tutorial, la ragione di questo è che "non vogliamo che Kippo abbia accesso al root".

La mia domanda è: che differenza fa eseguire SSH dalla porta 22 alla porta 3389?

La maggior parte dei server richiede l'accesso come root se si desidera aprire porte inferiori a 1024.

I numeri di porta TCP / IP inferiori a 1024 sono speciali in quanto agli utenti normali non è consentito eseguire server su di essi. Questa è una caratteristica di sicurezza, in quanto se ti connetti a un servizio su una di queste porte puoi essere abbastanza sicuro di avere la cosa reale, e non un falso che qualche hacker ha inventato per te.

Vedi: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

Che differenza fa eseguire SSH dalla porta 22 alla porta 3389?

Per associarsi a una porta inferiore a 1024 (una porta privilegiata) un processo deve avere accesso come root. Rendendolo associato a 3389 non è necessario l'accesso root.

Uno dei motivi per cui l'ho visto fare è ridurre lo spam nei log dagli scanner delle password. Quindi se qualcuno sta cercando di forzare le password, sai che è un tentativo mirato piuttosto che un driveby.

Reindirizzando SSH a una porta non standard - stai rendendo più difficile la vita di un hacker - perché non saranno sicuri al 100% quale porta stai utilizzando per accedere al tuo sistema.

Porta 22: è la porta predefinita di cui sei a conoscenza. Ma se hai modificato questo in una porta non standard ... Ora devo andare a eseguire un port-scan usando Nmap o qualche altro strumento per provare a rilevare dove il server SSH è in ascolto - questo aumenta le possibilità di il tuo IDS (Intrusion Detection System) per rilevare questo tipo di comportamento dannoso e può consentirti di iniziare a prendere contromisure (come negare l'indirizzo IP del target).

Mentre è vero che per CREARE una porta di ascolto inferiore a 1024 è necessario l'accesso root - sshd (il demone ssh [server]) sarà stato avviato all'avvio e che da solo non impedirà agli utenti priv / non priv di accedere al processo ssh.

Se vuoi smettere di ssh per root - e questa è sempre una buona cosa da fermare. Quindi ssh.config (cambia un po 'nel suo nome a seconda del sistema operativo in uso - guarda comunque in / etc / ssh /)

Il valore che controlla se un account di root può accedere è

#PermitRootLogin no

Questo valore e non il numero di porta, che a proposito è configurato usando un valore come

#Port 22

È come limitare.

Ssh è un meccanismo di comunicazione fantastico, flessibile e sicuro, ma solo se compreso e usato correttamente.

In generale, ci sono due ragioni principali per cui qualcuno potrebbe voler eseguire l'ascolto SSH su una porta alta:

• Poiché non è la porta "standard", i tentativi casuali di introduzione (botnet) hanno meno probabilità di connettersi ad essa
• Se il numero di porta è superiore a 1024, il daemon SSH ha un "privilegio di root" in meno di cui si deve fidare

Inoltre, se un dispositivo NAT si trova di fronte a diversi server che eseguono SSH, non può mappare la porta 22 a tutti loro, quindi in tal caso potrebbe essere configurato, ad esempio, per reindirizzare la porta esterna 10022 al servizio interno 192.0.2.10 : 22 e porta esterna da 11022 a 192.0.2.11:22.

Tuttavia, nel caso di Kippo, quello che stai installando è un "honeypot SSH", un programma che dovrebbe apparire come una riga di comando SSH su un sistema utilizzabile, ma in realtà risponde lentamente e non fa nulla di utile. Volete eseguirlo sia sulla normale porta SSH (22) che su una porta alta usata frequentemente (2222); in realtà è più semplice eseguirlo come utente sulla porta alta e quindi utilizzare iptablesper reindirizzare la porta bassa alla porta alta sullo stesso host. È anche possibile utilizzare netcat ( nc) o xinetd per impostare un reindirizzamento.

Affinché Kippo sia in ascolto sulla porta bassa (direttamente o tramite un reindirizzamento), il demone SSH di sistema normale non può già ascoltare lì. Inoltre, per rendere più credibile il tuo honeypot, non vuoi che il demone di sistema ascolti su un'altra porta aperta "comune".

Dal punto di vista della sicurezza sarebbe più efficace tirare i dadi per scegliere quella porta alternativa, ma è improbabile che RDP stia ascoltando su un tipico server Linux, quindi se ricordi già quel numero di porta con cui potrebbe essere divertente lavorare. Altre scelte "interessanti" potrebbero essere qualcosa come 5190 (AOL) o 1214 (KaZAA).