Atualmente estou aprendendo sobre como instalar o Kippo SSH. No tutorial, ele disse que eu deveria reconfigurar a porta SSH de 22 para uma porta diferente (que, neste caso, 3389). Então, agora, sempre que eu tentar o SSH de um cliente, ele se conectará à porta 3389.
No tutorial, a razão por trás disso é que "não queremos que o Kippo tenha acesso root".
A minha pergunta é, que diferença faz correr o SSH da porta 22 vs a porta 3389?
A maioria dos servidores requer acesso root se você deseja abrir portas menores que 1024.
The TCP/IP port numbers below 1024 are special in that normal users are not allowed to run servers on them. This is a security feaure, in that if you connect to a service on one of these ports you can be fairly sure that you have the real thing, and not a fake which some hacker has put up for you.
Veja: link
What difference does it make running SSH from port 22 vs port 3389?
Para ligar a uma porta abaixo de 1024 (uma porta privilegiada), um processo deve ter acesso root. Ao torná-lo vinculado ao acesso root 3389 não é necessário.
Uma das razões pelas quais vi isso, é reduzir o spam de log de scanners de senha. Então, se alguém está tentando restringir as senhas, você sabe que é uma tentativa direcionada, e não uma driveby.
Ao redirecionar o SSH para uma porta não padrão - você está dificultando a vida de um hacker - porque eles não terão 100% de certeza de qual porta você está usando para acessar seu sistema.
Porta 22 - é a porta padrão, como você sabe. Mas se você alterou isso para uma porta não padrão ... Agora preciso executar uma varredura de porta usando o Nmap ou alguma outra ferramenta para tentar detectar onde o servidor ssh está agora ouvindo - isso aumenta as chances do seu IDS (Sistema de Detecção de Intrusos) de detectar esse tipo de comportamento malicioso - e pode permitir que você comece a tomar medidas contrárias (como negar o endereço IP do alvo).
Embora seja verdade que para CREATE uma porta de escuta abaixo de 1024 você precisa de acesso root - o sshd (o daemon ssh [server]) foi iniciado durante a inicialização tempo, e isso por si só não impedirá que usuários priv / non-priv acessem o processo ssh.
Se você quiser parar o ssh para o root - e isso é sempre uma coisa boa para parar. Então o ssh.config (Ele muda um pouco em seu nome dependendo do sistema operacional sendo usado - veja no / etc / ssh /)
O valor que controla se uma conta raiz pode efetuar login é
#PermitRootLogin no
Este valor e não o número da porta - que por sinal é configurado usando um valor como
#Port 22
É como restringir.
O ssh é um mecanismo de comunicação fantástico, flexível e seguro - mas somente se for entendido e usado corretamente.
Em geral, há duas razões principais pelas quais alguém pode querer executar o SSH ouvindo em uma porta alta:
Além disso, se um dispositivo NAT estiver na frente de vários servidores executando SSH, ele não poderá mapear a porta 22 para todos eles, portanto, nesse caso, pode ser configurado, por exemplo, para redirecionar a porta externa 10022 para o serviço interno 192.0.2.10:22 e porta externa 11022 a 192.0.2.11:22.
No entanto, no caso do Kippo, o que você está instalando é um "honeypot SSH", um programa que deve parecer como uma linha de comando SSH em um sistema utilizável, mas na verdade responde lentamente e não faz nada útil. Você deseja executar tanto na porta SSH regular (22) quanto em uma porta alta freqüentemente usada (2222); na verdade, é mais fácil executá-lo como um usuário na porta alta e usariptables para redirecionar a porta baixa para a porta alta no mesmo host. Também é possível usar netcat ( nc ) ou xinetd para configurar um redirecionamento.
Para que o Kippo ouça na porta baixa (seja diretamente ou por meio de um redirecionamento), o daemon SSH do sistema regular ainda não pode estar escutando. Além disso, para tornar seu honeypot mais crível, você não quer que o daemon do sistema esteja escutando em outra porta aberta "comum".
Do ponto de vista da segurança, seria mais eficaz lançar dados para escolher essa porta alternativa, mas é improvável que o RDP esteja ouvindo em um servidor Linux típico, portanto, se você já se lembra desse número de porta, pode ser divertido trabalhar com ele. Outras opções "interessantes" podem ser algo como 5190 (AOL) ou 1214 (KaZAA).