別のポートでSSHを実行する理由

31

現在、Kippo SSHのインストールについて学んでいます。チュートリアルから、SSHポートを22から別のポート(この場合は3389)に再構成する必要があると言われました。そのため、クライアントからSSHを試行するたびに、ポート3389に接続します。

チュートリアルから、この背後にある理由は、「Kippoにrootアクセスを与えたくない」ということです。

私の質問は、ポート22とポート3389でSSHを実行するとどのような違いがありますか?

ssh 
アダム
ソース
8
SSHにはリダイレクトの概念がありません。そのため、あなたが何を求めているのか、少しわかりません。(あなたが従っているチュートリアルが不明確であるか、質問を書いている間にいくつかの重要な情報を省略したことが原因であるかどうかはわかりません。)
kasperd
4
答えではありませんが、知っておく価値があります:RDPにはTCPポート3389がよく使用されます。おそらく、3389は、リモートアクセスをスキャンしている人に見つけようとするために選択されました。
TOOGAM
モニカの復活-M.シュレーダー
あなたはで...どのチュートリアルを見ているこのいずれかまたはこのいずれかまたは他の何か?
デビッド
@デビッド私はこのチュートリアルで使用youtube.com/watch?v=OyBiIjrVXgk
アダム・

回答:

52

1024未満のポートを開く場合は、ほとんどのサーバーにルートアクセスが必要です。

1024未満のTCP / IPポート番号は、通常のユーザーがサーバー上でサーバーを実行することを許可されないという点で特別です。これはセキュリティ上の特徴です。これらのポートのいずれかでサービスに接続すると、ハッカーが用意した偽物ではなく、本物であることをかなり確信で​​きるからです。

参照:https : //www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

ソーシー
ソース
1
この質問は、この答えにも関係するような気がします:superuser.com/questions/710253/...(答えを読んだ後、人々はおそらく自分自身にその質問をしようとしているので)
Score_Under
29

ポート22とポート3389でSSHを実行すると、どのような違いがありますか?

1024未満のポート(特権ポート)にバインドするには、プロセスにルートアクセスが必要です。3389にバインドすることにより、ルートアクセスは必要ありません。

user9517はGoFundMonicaをサポートしています
ソース
21

これを確認した理由の1つは、パスワードスキャナーからのログスパムを減らすことです。誰かがパスワードをブルートフォースしようとしている場合、それはドライブバイではなく標的を絞った試みであることがわかります。

デウィ・モーガン
ソース
8

SSHを非標準ポートにリダイレクトすることにより、ハッカーの生活をより困難にします-システムへのアクセスに使用するポートを100%確信できないためです。

ポート22-ご存じのようにデフォルトのポートです。ただし、これを非標準ポートに変更した場合は、Nmapまたは他のツールを使用してポートスキャンを実行して、sshサーバーが現在リッスンしている場所を検出する必要があります -これにより、このタイプの悪意のある動作を検出するIDS(侵入検知システム)-対策(ターゲットのIPアドレスの拒否など)を開始できるようにします。

それはすることは事実であるが、CREATE 1024未満のリスニングポートを使用すると、rootアクセスを必要とする- SSHDを(SSHデーモンは、[サーバー])は、ブート時に起動されているでしょうし、それだけではアクセスからPRIV /非PRIVのユーザーを停止することはありませんsshプロセス。

rootのsshを停止したい場合-これは常に停止するのが良いことです。次に、ssh.config(使用されているOSによって名前が少し変更されます-ただし、/ etc / ssh /を見てください)

ルートアカウントがログインできるかどうかを制御する値は 

#PermitRootLogin no

この値 はポート番号ではなく、次のような値を使用して構成されます

#Port 22

制限する方法です。

Sshは素晴らしい、柔軟で安全な通信メカニズムですが、正しく理解され、正しく使用されている場合のみです。

ティム・シード
ソース
rootとしてログインできるsshと、特権ポートを開くことができるsshデーモン自体へのルートアクセスを必要とするsshには違いがあります。問題は、最初の問題ではなく、2つ目の問題に関連しています。
マイクスコット
3

一般に、誰かが高いポートでリッスンしているSSHを実行したい主な理由は2つあります。

  • 「標準」ポートではないため、ランダムな侵入(ボットネット)が接続する可能性は低くなります
  • ポート番号が1024を超える場合、SSHデーモンには「root権限」が1つ少なくなります。

さらに、NATデバイスがSSHを実行する複数のサーバーの前にある場合、ポート22をそれらすべてにマッピングすることはできません。そのため、たとえば、外部ポート10022を内部サービス192.0.2.10にリダイレクトするように構成できます。 :22および外部ポート11022から192.0.2.11:22。

ただし、Kippoの場合、インストールしているのは「SSHハニーポット」です。これは、使用可能なシステムではSSHコマンドラインのように見えるはずですが、実際には応答が遅く、役に立たないものです。通常のSSHポート(22)と頻繁に使用される高いポート(2222)の両方で実行したい場合。実際には、高いポートでユーザーとして実行してiptablesから、同じホストで低いポートを高いポートにリダイレクトする方が簡単です。netcat(nc)またはxinetdを使用してリダイレクトを設定することもできます。

Kippoが(直接またはリダイレクト経由で)低ポートでリッスンするために、通常のシステムSSHデーモンはそこでリッスンすることはできません。さらに、ハニーポットをより信頼できるものにするために、システムデーモンが別の「共通」オープンポートをリッスンすることは望ましくありません。

セキュリティの観点からは、サイコロを振ってその代替ポートを選択するのが最も効果的ですが、RDPは一般的なLinuxサーバーでリッスンすることはほとんどありません。他の「興味深い」選択肢は、5190(AOL)または1214(KaZAA)のようなものです。

デビッド
ソース
1
Kippoが何であるかを認識(または検索)せずに、sshデーモンがrootにならない理由理解できませんでした:任意のユーザーとして認証する場合、別のユーザーになるためにいくつかの許可を保持する必要があります。しかし、この答えは、rootとして実行されないことが重要である理由を明確にします。
chexum
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.