Actualmente estoy aprendiendo sobre la instalación de Kippo SSH. Del tutorial, decía que debería reconfigurar el puerto SSH del 22 a un puerto diferente (que en este caso 3389). Entonces, cada vez que intento SSH desde un cliente, se conectará al puerto 3389.
Según el tutorial, la razón detrás de esto es que "no queremos que Kippo tenga acceso de root".
Mi pregunta es, ¿qué diferencia hay al ejecutar SSH desde el puerto 22 frente al puerto 3389?
Respuestas:
La mayoría de los servidores requieren acceso de root si desea abrir puertos inferiores a 1024.
Ver: https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html
fuente
Para vincularse a un puerto por debajo de 1024 (un puerto privilegiado), un proceso debe tener acceso de root. Al hacer que se vincule a 3389, no se requiere acceso raíz.
fuente
Una de las razones por las que he visto esto, es para reducir el registro de spam de los escáneres de contraseña. Entonces, si alguien está tratando de forzar contraseñas, sabes que es un intento selectivo en lugar de un driveby.
fuente
Al redirigir SSH a un puerto no estándar, está dificultando la vida de un hacker, ya que no estará 100% seguro de qué puerto está utilizando para acceder a su sistema.
Puerto 22: es el puerto predeterminado, como ya sabe. Pero si ha modificado esto a un puerto no estándar ... ahora tengo que ir y llevar a cabo un escaneo de puertos usando Nmap u otra herramienta para intentar detectar dónde está escuchando el servidor ssh ; esto aumenta las posibilidades de su IDS (Sistema de detección de intrusiones) para detectar este tipo de comportamiento malicioso, y puede permitirle comenzar a tomar contramedidas (como negar la dirección IP del objetivo).
Si bien es cierto que para CREAR un puerto de escucha por debajo de 1024, necesita acceso root: el sshd (el demonio ssh [servidor]) se habrá iniciado en el momento del arranque, y eso solo no impedirá que los usuarios priv / non-priv accedan al proceso ssh
Si desea detener ssh para root, y esto siempre es bueno detenerlo. Luego, ssh.config (cambia un poco en su nombre dependiendo del sistema operativo que se esté utilizando; sin embargo, busque en / etc / ssh /)
El valor que controla si una cuenta raíz puede iniciar sesión es
Este valor y no el número de puerto, que por cierto se configura utilizando un valor como
Es cómo restringir.
Ssh es un mecanismo de comunicación fantástico, flexible y seguro, pero solo si se entiende y se usa correctamente.
fuente
En general, hay dos razones principales por las que alguien puede querer ejecutar SSH escuchando en un puerto alto:
Además, si un dispositivo NAT se encuentra frente a varios servidores que ejecutan SSH, no puede asignar el puerto 22 a todos ellos, por lo que en ese caso podría configurarse, por ejemplo, para redirigir el puerto externo 10022 al servicio interno 192.0.2.10 : 22 y puerto externo 11022 a 192.0.2.11:22.
Sin embargo, en el caso de Kippo, lo que está instalando es un "honeypot SSH", un programa que se supone que se parece a una línea de comando SSH en un sistema utilizable pero que en realidad responde lentamente y no hace nada útil. Desea ejecutar eso tanto en el puerto SSH normal (22) como en un puerto alto de uso frecuente (2222); en realidad es más fácil ejecutarlo como usuario en el puerto alto y luego usarlo
iptablespara redirigir el puerto bajo al puerto alto en el mismo host. También es posible usar netcat (nc) o xinetd para configurar una redirección.Para que Kippo escuche en el puerto bajo (ya sea directamente o mediante una redirección), el demonio SSH del sistema normal ya no puede estar escuchando allí. Además, para que su honeypot sea más creíble, no desea que el demonio del sistema escuche en otro puerto abierto "común".
Desde el punto de vista de la seguridad, sería más efectivo tirar los dados para elegir ese puerto alternativo, pero es poco probable que RDP escuche en un servidor Linux típico, por lo que si ya recuerda ese número de puerto, puede ser divertido trabajar con él. Otras opciones "interesantes" podrían ser algo como 5190 (AOL) o 1214 (KaZAA).
fuente