Nowe posty

xx Jak usunąć kilka dowiązań twardych jednym poleceniem. (3)
2019-06-14, 12:12:10
xx Skrypt sprawdzający miejsce na dysku (1)
2019-06-13, 13:55:00
xx Samba server (3)
2019-06-10, 17:01:44
xx Skrypt tworzący użytkownika (3)
2019-06-07, 17:11:55
xx Jaki serwis komp. we Wrocławiu (0)
2019-06-06, 12:39:23
xx serwer wydruku (1)
2019-06-04, 13:57:58
xx mod_security i roundcube (0)
2019-05-27, 14:27:03
xx Touchpad po pewnym losowym czasie przestaje reagować (33)
2019-05-27, 10:14:21
xx [ROZWIĄZANY] przygotowanie zeskanowanego pdf do OCR (6)
2019-05-24, 14:46:43
xx Przydatne Linki (1)
2019-05-23, 18:05:04

Autor Wątek: ssh porty  (Przeczytany 989 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2156
  • 1709
    • Zobacz profil
ssh porty
« dnia: 2017-08-05, 17:40:46 »
Zmienilem sobie port dla serwera ssh, czyli sshd , np. na port  60100
łacze się np.   ssh user@IP -p 60100
 
I działa, ale port wyjściowy juz jest zmienny, a chciałbym by był stały, w celu uszczelnienia zapory internetowej.

Wynik tpcdump
17:09:29.314628 IP 192.168.1.24.40100 > <IP>.60100: tcp 0
17:09:29.315833 IP <IP>.60100 > 192.168.1.24.40100: tcp 0

Czy da się to jakoś ustawić w ssh ?
( próbowałem odhaszować i zmienić port w /etc/ssh/ssh_config , ale nici, może powinienem coś wiecej odhaszować , nie wiem )
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline Andrzej J

  • Users
  • Guru
  • *****
  • Wiadomości: 704
    • Zobacz profil
Odp: ssh porty
« Odpowiedź #1 dnia: 2017-08-05, 19:06:46 »
Powiinno działać jak zmienisz ssh w configu. Może jeszcze spróbuj w firewallu wyłączyć blokowanie tego portu.

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2156
  • 1709
    • Zobacz profil
Odp: ssh porty
« Odpowiedź #2 dnia: 2017-08-05, 20:00:33 »
Dodam że
to nie problem firewalla narazie,
samo ssh działa jak w routerze przekieruje port   dowolny --> na 60100
ale nie chce tego robic, wolałbym  60100 --> na 60100
i tu zonk bo ssh używa zmiennego portu.

W internecie pisze coś takiego
https://superuser.com/questions/250249/how-do-i-change-my-ssh-outgoing-port-on-osx
co brzmi to bez sensu. I jeszcze jakś opcja LocalForward mi się obiła w oczy, ale chyba nie zrozumiałem do czego jest.
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2498
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • Linuxpedia.PL
Odp: ssh porty
« Odpowiedź #3 dnia: 2017-08-05, 20:29:52 »
Sprawa wygląda tak, ze przy wychodzącym połączeniu TCP, port żródłowy jest losowany przez system operacyjny podczas wywołania funkcji connect(...). Port można wcześniej "zafiksować" wywołaniem bind(...), ale klient SSH tego nie obsługuje.

Dlaczego tak jest? Otóż połączenie TCP jest identyfikowane przez czwórkę src-ip,src-port,dst-ip,dst-port i ani w sieci, ani w komputerze nie mogą istnieć dwa różne połączenia TCP/UDP z taką samą czwórką. Jeżeli wymusiłbyś kompletną czwórkę dla połączenia SSH, to w tym czasie nie mógłbyś zrobić drugiego połączenia do tego samego serwera. Dlatego przy połączeniach losowany jest jedyny element czwwórki, który można swobodnie zmieniać, czyli src-port - dzięki temu z klienta do serwera możesz zrobić 65535 połączeń równoczesnych (w rzeczywistości albo mniej - około 64000, bo system nie przydziela normalnie portów 1-1024 albo jeszcze mniej, około 26000, bo standardowo przydzielane są porty od 48k w górę).
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2156
  • 1709
    • Zobacz profil
Odp: ssh porty
« Odpowiedź #4 dnia: 2017-08-06, 19:48:08 »
Szkoda ;-( , może kiedyś ktoś poprawi ssh dodając nową opcje
( w końcu nie każdy potrzebuje 65535 równoczesnych połączeń, czasem wystarczy tylko 1 )
 lub zrobi skrypt który wykryje port danego procesu i przekieruje go na chwilę na inny już określony.
Z tego co zrozumiałem wyżej
Cytuj
... bo system nie przydziela normalnie portów 1-1024  ...
To jedynie trochę zakres można zmniejszyć na  " 1024:65535 --> port zwrotny "
i choć nie ma tego w manualu, to widzę , że tak ludzie robią.
lub jak kto woli przykład z zapory internetowej
Cytuj
$ipt -A INPUT -i $LAN_IFACE -p tcp -s 192.168.1.0/24 --dport 22 --sport 1024:65535 -m state --state NEW -j ACCEPT
http://sourcedaddy.com/networking/configuring-firewall-remote-ssh-administration.html

Dziękuję za wyjaśnienie.
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2498
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • Linuxpedia.PL
Odp: ssh porty
« Odpowiedź #5 dnia: 2017-08-06, 20:01:41 »
Bo do zabezpieczenia od d**y strony podchodzisz.

1. Wymuś logowanie admina na certyfikat
2. Wyrzuć SSH na inny port (najlepiej jakiś wysoki)
3. Ogranicz liczbę inicjalizacji sesji "per ip źródłowe" na port z #2 np do 1/min z burstem 5. (czyli 5 SYNów masz "za darmo" a następne raz na minutę).
4. Jak coś przekroczy limit z #3 to wrzuć to do blacklisty np. na godzinę.

Całość robisz kombinacją iptables (--limit z mode srcip, --match-set, --ctstate) i ipset (typ hash:ip z timeoutem).
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy