Ich möchte mich gerne per SSH mit meinem Server verbinden können (schockierend, ich weiß). Das Problem entsteht, wenn ich auf Reisen bin, wo ich in Hotels und anderen Einrichtungen auf eine Vielzahl von Firewalls mit unterschiedlichen Konfigurationen stoße, die manchmal ziemlich dämlich sind.
Ich möchte einen SSHD einrichten, der auf einem Port lauscht, der mit hoher Wahrscheinlichkeit durch dieses Chaos hindurchkommt. Irgendwelche Vorschläge?
Der SSHD lauscht derzeit auf einem nicht standardmäßigen (aber < 1024) Port, um zu verhindern, dass Script-Kiddies an die Tür klopfen. Dieser Port ist häufig blockiert, ebenso wie der andere nicht standardmäßige Port, auf dem sich mein IMAP-Server befindet.
Ich habe Dienste, die auf den Ports 25 und 80 laufen, aber alles andere ist erlaubt. Ich dachte vielleicht an 443.
Sehr geschätzt!
Reid
Antwort1
Ich sehe keinen Grund, warum 443 nicht funktionieren sollte.
Ich frage mich jedoch immer, ob ich sshd auf einem anderen Port als 22 laufen lassen soll. Ich habe es selbst nicht versucht, aber es ist Sicherheit durch Unklarheit. Es vermittelt ein meist falsches Sicherheitsgefühl. Viele Bots nehmen sich die Zeit, einen Portscan eines Hosts durchzuführen, bevor sie angreifen, oder wenn 22 geschlossen ist. Wenn 22 auf den meisten Firewalls funktioniert, würde ich einfach wieder zu 22 zurückkehren und Schlüsselpaare für die Authentifizierung einrichten und die Kennwortauthentifizierung vollständig deaktivieren (unabhängig davon, ob Sie zu 22 zurückkehren oder nicht).
443 scheint eine gute Wahl zu sein, da diese häufig geöffnet sein sollte.
Antwort2
443 ist keine gute Idee. Insbesondere Port 443 ist eine gefährliche Lösung, wenn Sie ihn nicht für SSL-Verkehr verwenden. Zunächst einmal werden Sie von Gmail oder jedem anderen großen Dienstanbieter als öffentlicher Proxyserver markiert (sie markieren, dass alles auf 443 ohne SSL-Verschlüsselung funktioniert). Außerdem blockieren einige professionelle Firewalls jeglichen Verkehr auf 443 ohne SSL. Wegen Proxyprogrammen wie Ultrasurf oder Thor usw. können Sie es vielleicht auf 23 zurücksetzen oder auf 22 belassen. Wenn Sie keine Bruteforcer auf SSHD mögen, kann ich Ihnen raten, Fail2ban zu verwenden.http://www.fail2ban.org/wiki/index.php/Hauptseite Es ist eine perfekte Lösung zum Schutz von SSHD, FTP-Servern usw.
Antwort3
Ich würde sagen, 443 wäre ein guter Port, aber seien Sie sich bewusst, dass manche Firewalls eine Inhaltsprüfung durchführen, um sicherzustellen, dass der Datenverkehr über Port 443 tatsächlich https ist. Es gibt auch einige seltsame Orte, an denen verschlüsselter Datenverkehr nicht gern gesehen ist. Daher sollten Sie Port 443 ablehnen.
Abhängig von der Konfiguration kann Port 53 in Ordnung sein – vorausgesetzt, der ausgehende Datenverkehr ist nicht ausschließlich auf die eigenen DNS-Server beschränkt.
Sie sollten auch überlegen, ob Sie eine freie IP-Adresse verwenden können. Ihr Webserver muss nicht unbedingt jede IP-Adresse abhören, die Ihr Server besitzt. In diesem Fall könnten Sie einfach Port 80 verwenden, da die IP-Adresse am wenigsten wahrscheinlich blockiert ist.
Andererseits ist es wahrscheinlich nicht ratsam, Ihren SSH-Server auf einem bekannten Port zu platzieren, wenn Sie versuchen, ihn undurchsichtig zu machen. Und möglicherweise gibt es Inline-Proxyserver auf Port 80 und 443, die Sie daran hindern.
Antwort4
Ich unterstütze ein VPN für mehrere Benutzer, die ihre Systeme in viele restriktive Netzwerke einbinden. Meiner Erfahrung nach gibt es keinen einzigen Port, auf dem Sie lauschen können und der zu 100 % der Zeit funktioniert. Wenn Sie eine hochverfügbare Konnektivität wünschen, müssen Sie Ihr System wahrscheinlich so einrichten, dass es Verbindungen auf vielen Ports akzeptiert.
Richten Sie SSH einfach so ein, dass es auf einem bestimmten Port lauscht, und verwenden Sie dann NAT, um es auf anderen Ports verfügbar zu machen.
Da Sie erwähnt haben, dass Port 80 verwendet wird. Wenn Apache auf Port 80 läuft, können Sie es sogar als Proxy einrichten. Nehmen Sie sich aber bitte die Zeit, um zu verstehen, wie Sie den Zugriff richtig einrichten, damit Sie nicht zu einem offenen Proxy werden.
Wenn Sie wirklich möchten, dass Ihr System von restriktiven Netzwerken aus zugänglich ist, müssen Sie leider wahrscheinlich viele Scans durchführen. Die gleichen Protokolle, die normalerweise durch Firewalls zugelassen werden, werden auch häufig verwendet und gescannt. Richten Sie etwas wie denyhosts oder fail2ban ein, damit Ihr System Personen aussperrt.