Me gusta poder acceder a mi servidor mediante ssh (impactante, lo sé). El problema surge cuando estoy de viaje, donde me enfrento a una variedad de firewalls en hoteles y otras instituciones, que tienen una variedad de configuraciones, a veces bastante tontas.
Me gustaría configurar una escucha sshd en un puerto que tenga una alta probabilidad de superar este lío. ¿Alguna sugerencia?
El sshd actualmente escucha en un puerto no estándar (pero < 1024) para evitar que los script kid llamen a la puerta. Este puerto se bloquea con frecuencia, al igual que el otro puerto no estándar donde reside mi servidor IMAP.
Tengo servicios ejecutándose en los puertos 25 y 80, pero cualquier otra cosa es válida. Estaba pensando en 443 tal vez.
¡Muy apreciado!
reid
Respuesta1
No veo por qué 443 no debería funcionar.
Sin embargo, siempre cuestiono la ejecución de sshd en un puerto que no sea el 22. Yo mismo no lo he intentado, pero es seguridad a través de la oscuridad. Proporciona una sensación de seguridad mayoritariamente falsa. Muchos bots se tomarán el tiempo para escanear el puerto de un host antes de atacar, o si el 22 está cerrado. Si 22 funciona en la mayoría de los firewalls, simplemente volvería a usar 22 y configuraría pares de claves para la autenticación, y deshabilitaría la autenticación de contraseña por completo (independientemente de si regresa a 22 o no).
443 parece una buena opción, ya que debería estar abierto con frecuencia.
Respuesta2
443 no es una buena idea. Especialmente el puerto 443 es una solución peligrosa si no lo utiliza para el tráfico SSL. En primer lugar, Gmail o cualquier gran proveedor de servicios lo marcarán como un servidor proxy público (marcan que todo funciona en 443 sin SSL enc). Además, algunos firewalls profesionales también bloquean cualquier tráfico en 443 sin SSL. debido a programas proxy como ultrasurf o thor, etc. tal vez puedas volver a 23 o dejarlo en 22. si no te gustan los bruteforcers en sshd. Puedo aconsejarte que utilices fail2banhttp://www.fail2ban.org/wiki/index.php/Main_Page Es una solución perfecta para proteger sshd, también servidores ftp, etc.
Respuesta3
Yo diría que 443 sería un buen puerto, aunque tenga en cuenta que algunos firewalls pueden inspeccionar el contenido para asegurarse de que el tráfico del puerto 443 sea realmente https. También hay algunos lugares extraños donde no les gusta el tráfico cifrado, por lo que niegan el puerto 443.
Dependiendo de la configuración, el puerto 53 puede estar bien, si no han restringido el tráfico saliente sólo a sus propios servidores DNS.
También se puede considerar si podría utilizar una dirección IP adicional. No necesariamente tiene que tener su servidor web escuchando en cada dirección IP que posee su servidor, en cuyo caso podría usar el puerto 80, que es el que tiene menos probabilidades de ser bloqueado.
Por otra parte, probablemente no sea prudente poner su servidor ssh en un puerto conocido cuando lo que está haciendo es intentar ocultarlo. Y es posible que haya servidores proxy en línea en los puertos 80 y 443 que le impidan hacer esto.
Respuesta4
Admito una VPN para varios usuarios que llevan sus sistemas a muchas redes restrictivas. En mi experiencia, no existe un único puerto en el que puedas escuchar que funcione el 100% del tiempo. Si desea una conectividad de alta disponibilidad, probablemente necesite configurar su sistema para aceptar conexiones en muchos puertos.
Simplemente configure SSH para escuchar en algún puerto y luego use NAT para que esté disponible en otros puertos.
Como mencionaste, el puerto 80 está en uso. Si tiene Apache ejecutándose en el puerto 80, incluso podría configurarlo como proxy. Pero asegúrese de tomarse el tiempo para comprender cómo configurar el acceso correctamente para no convertirse en un proxy abierto.
Desafortunadamente, si realmente desea que se pueda acceder a su sistema desde redes restrictivas, es probable que tenga que escanear mucho. Los mismos protocolos que comúnmente se permiten a través de firewalls son los que se usan y analizan comúnmente. Configure algo como denyhosts o fail2ban para que su sistema bloquee a las personas.