Configure SSHd en el puerto 522 en CentOS 6.3 (x64)

Configure SSHd en el puerto 522 en CentOS 6.3 (x64)

Actualmente ejecuto un servidor con SSH en un puerto no estándar por razones de seguridad. Eso era 522 en CentOS 5, pero CentOS 6 no permite (fácilmente) que SSH se ejecute en ningún puerto por debajo de 1024, aparte del 22, obviamente. Para CentOS 6 he estado usando un puerto mucho más alto (>10000), pero ahora tengo que ejecutarlo en 522 (para una variedad de problemas desagradables de hosting/firewall introducidos por mi proveedor de hosting). Estoy ejecutando un kernel > 2.6.24 y SELinux.

Creo que es posible, quizás usando CAP_NET_BIND_SERVICE y setcap, pero no encuentro una buena referencia. Cualquier ayuda muy apreciada.

Respuesta1

Hay una publicación en CentOS How To's sobre cómo proteger SSH en un sistema. La sección cinco habla sobre el uso de un puerto no estándar:

http://wiki.centos.org/HowTos/Network/SecuringSSH

  1. Utilice un puerto no estándar

De forma predeterminada, ssh escucha las conexiones entrantes en el puerto 22. Para que un hacker determine que ssh se está ejecutando en su máquina, lo más probable es que escanee el puerto 22 para determinar esto. Un método eficaz es ejecutar ssh en un puerto no estándar. Cualquier puerto no utilizado servirá, aunque es preferible uno superior a 1024. Mucha gente elige el 2222 como puerto alternativo (como es fácil de recordar), del mismo modo que el 8080 suele conocerse como el puerto HTTP alternativo. Por esta misma razón, probablemente no sea la mejor opción, ya que cualquier hacker que escanee el puerto 22 probablemente también escaneará el puerto 2222 solo por si acaso. Es mejor elegir algún puerto alto aleatorio que no se utilice para ningún servicio conocido. Para realizar el cambio, agregue una línea como esta a su archivo /etc/ssh/sshd_config:

# Run ssh on a non-standard port:
Port 2345  #Change me

Luego, cuando utilice SSH para conectarse, simplemente especifique el modificador -p si lo hace desde otro servidor Linux. O si estás usando algo como PuTTY cambia el puerto allí.

información relacionada