SDF-group

Смена порта ssh

Сервер, находящийся в публичной сети, всегда вызывает интерес у разного рода любителей что-нибудь сломать или взломать. Атака перебором паролей и пользователей на стандартный 21 порт ssh моего сервера, которая длилась более 4 часов, заставила меня задуматься о мерах противодействия. Самым логичным было поменять стандартные порты на свои. Конечно, если кто-то будет ломать конкретно твой сервер он все равно отыщет порт, но вот множеству ботов мы сразу дадим от ворот поворот. 

Рассмотрим вопрос смены порта ssh со стандартного на произвольный на сервере c ОС Linux Opensuse 11.4. Если у тебя удаленный доступ к серверу, как чаще всего и бывает, то невнимательность или ошибка при выполнении этой операции может привести к потери доступа, поэтому пошагово рассмотрим весь процесс:

Будем считать, что у тебя только удаленный доступ (сервер в облаке) и на сервере нет графического окружения.

Шаг 1:

Заходим на сервер по ssh под root. Набираем:

yast

Переходим в Security and Users -> Firewall. Обрати внимание, что Firewall должен быть включен, иначе все доступные порты будут светится извне и представлять неплохую мишень для атаки. Если Firewall выключен, то сначала включи его, задай нужные тебе настройки, и вернись к этой статье.

Шаг 2:

Выбираем в Firewall раздел Allowed Services, где у нас добавлены необходимые сервисы, включая ssh, с портами по умолчанию. Идем в Advanced и добавлем TCP порт какой хотим, например 5026. Сохраняемся и при необходимости перезапускаем Firewall.

Шаг 3:

Теперь нам необходимо проверить открыт ли указанный нами порт, иначе можно попасть впросак, переназначив порт ssh на закрытый порт и потерять доступ к серверу. Для этого воспользуемся утилитой nmap.

nmap -p 5026 пользователь@адрес сервера

Это надо делать на вашем компьютере, не на сервере. В итоге мы должны получить статус порта closed, который означает, что порт открыт, но ни одна служба его не слушает. После этого мы можем спокойно поменять порт ssh.

Шаг 4:

Итак, меняем порт ssh. Редактируем файл /etc/ssh/sshd_config. Ищем строку Port, если она закомментирована раскомментируем и ставим наш открытый порт 5026. После этого перезапускаем sshd командой:

/etc/init.d/sshd restart

Все, можем подключиться к ssh, принудительно указав порт:

ssh -p 5026 пользователь@адрес сервера.

Старый неактивный порт ssh можно закрыть Firewall.

Добавить комментарий


Защитный код
Обновить