Como desabilitar o ssh público? [fechadas]

Question

Como desabilitar o ssh público? [fechadas]

#1 resposta do (3 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)

1

Eu gostaria de desativar o acesso público ao ssh. Como ainda posso acessar o servidor, mas bloquear a porta 22? Preciso criar outra instância apenas para o openvpn (o que é bom)? Existe um tutorial em algum lugar para basicamente "esconder" o ssh por trás de uma vpn?

ssh networking openvpn firewall

por theoldgnews 31.08.2017 / 03:34

6 respostas

Tags ssh networking openvpn firewall

sem tempo de internet no controlador de domínio, Windows Server 2016 Como depurar serviços no Debian se eles falharem ao iniciar

score 3 · Answer 1

Dependendo do motivo pelo qual você deseja bloquear a porta 22, pode ser bom o suficiente para mover seu sshd da porta 22 para qualquer outra porta, como 22222 ou 12345. Isso é feito adicionando uma linha

Port 12345

para / etc / ssh / sshd_config e recarregando a configuração do sshd como

/etc/init.d/ssh reload

Você pode ter mais de uma porta ativa, apenas por mais de uma linha de porta no arquivo de configuração.

TomTomTom

score 1 · Answer 2

Se o seu servidor tiver uma conexão vpn, talvez você possa definir o ListenAddress do seu servidor ssh para o ponto de extremidade vpn local, em vez do padrão de todos os endereços locais.

score 1 · Answer 3

Eu tenho um servidor Debian 8 com um ip público e bloqueio e acesso aberto quando quero usar knockd :

apt-get install -y knockd

No arquivo de configuração /etc/knockd.conf :

[options]
    UseSyslog

[openSSH]
    sequence    = 2009,8019,9099
    seq_timeout = 20
    command     = /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

[closeSSH]
    sequence    = 2000,1449,6712
    seq_timeout = 20
    command     = /sbin/iptables -D INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Agora, você precisa reiniciar o serviço com /etc/init.d/knockd restart

Para abrir e fechar a porta ssh, eu tenho um script no meu pc:

Abrir

#!/bin/bash

PATH=$PATH:/usr/local/bin

for i in 2009 8019 9099
do
  nmap -Pn -p ${i} --max-retries 0 myremoteserverip
done

Fechar

#!/bin/bash

PATH=$PATH:/usr/local/bin

for i in 2000 1449 6712
do
  nmap -Pn -p ${i} --max-retries 0 myremoteserverip
done

Agora, a última etapa é bloquear todo o tráfego de entrada com iptables -P INPUT DROP

Neste ponto, você pode tentar abrir a porta ssh, usando o script, faça isso, se você tiver o console para entrar no seu servidor, se você bloquear.

score 0 · Answer 4

Não tenho certeza sobre o que você deseja fazer.

se você só precisa desabilitar o ssh e se conectar ao seu servidor, apenas pare o sshd e use o telnet ou qualquer outra coisa.
para a preocupação segura, vpn envolveu a comunicação ssh, o que significa que o ssh não é público, a menos que a vpn não seja segura.

score 0 · Answer 5

Você tem um IP estático do qual está se conectando? Talvez apenas permita o SSH a partir disso. Caso contrário, a VPN também é uma opção. Eu mesmo desautorizo a autenticação de senha. Os riscos de alguém ter minha chave RSA privada de 4096 bits são mínimos.

score 0 · Answer 6

Para alterar a porta SSH, você pode alterar a diretiva Port em /etc/init.d/sshd_config. Altere o padrão 22 para qualquer outra coisa e reinicie o daemon sshd.

Se você tem um serviço VPN configurado no seu servidor, você pode fazer o SSH ouvir apenas a interface VPN.

Edite / etc / ssh / sshd_config e adicione essa diretiva (supondo que o endereço IP da VPN para o servidor seja 102.168.10.1):

ListenAddress 192.168.10.1

Reinicie o ssh ( service sshd restart ou service ssh restart , dependendo da sua distribuição) e o ssh só será acessível dentro da VPN.