अलग पोर्ट पर SSH क्यों चलाते हैं

मैं वर्तमान में Kippo SSH को स्थापित करने के बारे में सीख रहा हूं। ट्यूटोरियल से, यह कहा गया है कि मुझे एसएसएच पोर्ट को 22 से एक अलग पोर्ट (जो इस मामले में 3389 में) को फिर से कॉन्फ़िगर करना चाहिए। इसलिए अब जब भी मैं किसी क्लाइंट से एसएसएच करने की कोशिश करता हूं, तो यह पोर्ट 3389 से जुड़ जाएगा।

ट्यूटोरियल से, इसके पीछे कारण यह है कि "हम नहीं चाहते हैं कि किप्पो की जड़ तक पहुंच हो"।

मेरा सवाल है, क्या फर्क पड़ता है कि पोर्ट 22 बनाम पोर्ट 3389 से एसएसएच चल रहा है?

यदि आप 1024 से कम पोर्ट खोलना चाहते हैं, तो अधिकांश सर्वर को रूट एक्सेस की आवश्यकता होती है।

1024 से नीचे की टीसीपी / आईपी पोर्ट संख्याएँ विशेष हैं कि सामान्य उपयोगकर्ताओं को उन पर सर्वर चलाने की अनुमति नहीं है। यह एक सिक्योरिटी फियर है, ऐसे में अगर आप इनमें से किसी एक पोर्ट पर किसी सर्विस से जुड़ते हैं तो आप काफी हद तक सुनिश्चित हो सकते हैं कि आपके पास असली चीज है, और नकली नहीं है, जिसे किसी हैकर ने आपके लिए रखा है।

देखें: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

क्या फर्क पड़ता है कि पोर्ट 22 बनाम पोर्ट 3389 से एसएसएच चल रहा है?

1024 (एक विशेषाधिकार प्राप्त बंदरगाह) के नीचे एक बंदरगाह से बांधने के लिए एक प्रक्रिया का मूल उपयोग होना चाहिए। इसे बांधने से 3389 रूट तक पहुंचने की आवश्यकता नहीं है।

जिन कारणों से मैंने ऐसा किया है, उनमें से एक पासवर्ड स्कैनर से लॉग स्पैम को कम करना है। फिर अगर किसी ने पासवर्ड को bruteforce करने की कोशिश की है, तो आप जानते हैं कि यह ड्राइवबी के बजाय एक लक्षित प्रयास है।

SSH को एक गैर-मानक पोर्ट पर पुनर्निर्देशित करके - आप एक हैकर के जीवन को और अधिक कठिन बना रहे हैं - क्योंकि वे 100% सुनिश्चित नहीं होंगे कि आप अपने सिस्टम को एक्सेस करने के लिए किस पोर्ट का उपयोग कर रहे हैं।

पोर्ट 22 - जैसा कि आप जानते हैं डिफ़ॉल्ट पोर्ट है। लेकिन अगर आपने इसे एक गैर-मानक पोर्ट में बदल दिया है ... मुझे अब Nmap या किसी अन्य टूल का उपयोग करके पोर्ट-स्कैन करने की आवश्यकता है और यह पता लगाने की कोशिश करनी चाहिए कि ssh सर्वर अब कहां सुन रहा है - इससे संभावना बढ़ जाती है इस प्रकार के दुर्भावनापूर्ण व्यवहार का पता लगाने के लिए आपकी आईडीएस (घुसपैठ का पता लगाने की प्रणाली) - और आपको काउंटर-उपाय (जैसे लक्ष्य के आईपी पते से इनकार करना) शुरू करने की अनुमति दे सकती है।

जबकि यह सच है कि 1024 से नीचे के श्रवण पोर्ट को बनाने के लिए आपको रूट एक्सेस की आवश्यकता है - sshd (ssh daemon [सर्वर]) को बूट समय पर शुरू किया गया होगा, और यह अकेले निजी / गैर-निजी उपयोगकर्ताओं को एक्सेस करने से नहीं रोकेगा। ssh प्रक्रिया।

क्या आपको ssh को जड़ से रोकने की इच्छा होनी चाहिए - और यह हमेशा रुकने वाली चीज है। तब ssh.config (यह ओएस में उपयोग किए जा रहे के आधार पर इसके नाम में थोड़ा परिवर्तन करता है - हालांकि / etc / शशि में देखें)

मान जो रूट खाते को लॉग इन कर सकता है, को नियंत्रित करता है

#PermitRootLogin no

यह मान और नहीं पोर्ट नंबर - जो जिस तरह से इस तरह के रूप में एक मूल्य का उपयोग कर कॉन्फ़िगर किया गया है

#Port 22

कैसे प्रतिबंधित है।

Ssh एक शानदार, लचीला और सुरक्षित संचार तंत्र है - लेकिन केवल अगर इसे समझा और सही तरीके से उपयोग किया जाता है।

सामान्य तौर पर, दो मुख्य कारण हैं कि कोई व्यक्ति एसएसएच को उच्च बंदरगाह पर सुनना चाहता है:

• चूंकि यह "मानक" पोर्ट नहीं है, (बॉटनेट्स) को तोड़ने के यादृच्छिक प्रयास इससे जुड़ने की संभावना कम है
• यदि पोर्ट संख्या 1024 से अधिक है, तो SSH डेमन के पास एक कम "रूट विशेषाधिकार" है, जिस पर भरोसा करने की आवश्यकता है

इसके अलावा, यदि NAT डिवाइस SSH से चलने वाले कई सर्वरों के सामने बैठता है, तो यह उन सभी के लिए 22 पोर्ट को मैप नहीं कर सकता है, इसलिए उस स्थिति में इसे कॉन्फ़िगर किया जा सकता है, उदाहरण के लिए, आंतरिक पोर्ट 10022 को आंतरिक सेवा 192.0.2.10 पर पुनर्निर्देशित करना : 22 और बाहरी पोर्ट 11022 से 192.0.2.11:22।

हालांकि, किप्पो के मामले में, आप जो स्थापित कर रहे हैं वह "SSH honeypot" है, एक प्रोग्राम जो एक प्रयोग करने योग्य प्रणाली पर SSH कमांड लाइन की तरह दिखना चाहिए , लेकिन वास्तव में धीरे-धीरे प्रतिक्रिया करता है और कुछ भी उपयोगी नहीं है। आप नियमित एसएसएच पोर्ट (22) और साथ ही अक्सर उपयोग किए जाने वाले उच्च बंदरगाह (2222) पर दोनों को चलाना चाहते हैं; वास्तव में इसे उच्च बंदरगाह पर एक उपयोगकर्ता के रूप में चलाना आसान है और फिर iptablesउसी मेजबान पर उच्च बंदरगाह पर कम बंदरगाह को पुनर्निर्देशित करने के लिए उपयोग करें। ncरिडायरेक्ट सेट करने के लिए netcat ( ) या xinetd का उपयोग करना भी संभव है ।

Kippo को कम पोर्ट (या तो सीधे या पुनर्निर्देशित) के माध्यम से सुनने के लिए, नियमित प्रणाली SSH डेमन पहले से ही वहां नहीं सुन सकता है। इसके अलावा, अपने हनीपोट को और अधिक विश्वसनीय बनाने के लिए, आप नहीं चाहते कि सिस्टम डेमॉन एक और "आम" ओपन पोर्ट पर सुने।

एक सुरक्षा दृष्टिकोण से, उस वैकल्पिक पोर्ट को चुनने के लिए पासा को रोल करना सबसे प्रभावी होगा, लेकिन आरडीपी एक विशिष्ट लिनक्स सर्वर पर सुनने की संभावना नहीं है, इसलिए यदि आपको पहले से ही यह याद है कि पोर्ट नंबर के साथ काम करना मजेदार हो सकता है। अन्य "दिलचस्प" विकल्प कुछ हो सकते हैं जैसे 5190 (एओएल) या 1214 (KaZAA)।